آسیب پذیری CUPS لینوکس| پرینترها را حذف کنید!

روز سه‌شنبه سوم مهر ماه ۱۴۰۳، چهار آسیب‌پذیری در سیستم پرینت لینوکس (CUPS) کشف شده است که امکان اجرای کد از راه دور را در سیستم‌های لینوکس فراهم می‌آورند اما در حال حاضر، هیچ پچی برای برطرف کردن این آسیب‌پذیري‌ها ارائه نشده است.

پژوهشگر حوزه امنیت سایبری، سیمونه مارگاریتلی (Simone Margaritelli) اعلام کرد که چهار آسیب‌پذیری در CUPS لینوکس پیدا کرده است. CUPS، یک برنامه متن-باز (open-source) چاپگر برای سیستم‌های لینوکس و یونیکس است. این آسیب‌پذیری‌ها عبارتند از: CVE-2024-47176، CVE-2024-47076، CVE-2024-47175 و CVE-2024-47177. هکرها می‌توانند از این آسیب‌پذیری‌ها به صورت زنجیروار برای اجرای از راه دور کد دلخواه روی سیستم‌های لینوکس و یونیکس استفاده کنند. مارگارتی هشدار داده است که تمامی سیستم‌های لینوکس، اوراکل سولاریس، اکثر سیستم‌های یونیکس و احتمالا گوگل کرومیوم و Chrome OS در خطر اکسپلویت شدن این آسیب‌پذیری‌ها قرار دارند.

مارگارتی در پژوهش خود متوجه شد که قابلیت cup-browsed کار جستجوی پرینتر را انجام می‌دهد و پرینترهای تازه را به سیستم اضافه می‌کند. سپس پروتکل چاپ اینترنتی (IPP) را که کاربران از آن برای پرینت گرفتن بر بستر شبکه استفاده می‌کنند، بررسی کرد و متوجه شد که می‌تواند بدون اینکه هیچ هشداری به کاربر نمایش داده شود، یک پرینتر جعلی را به فهرست پرینترهای متصل به سیستم اضافه کند! مارگارتی می‌گوید: «یک هکر فاقد مجوز می‌تواند به صورت پنهانی، URLهای IPP پرینترهای موجود را با URLهای مخرب جایگزین کند (یا یک IPP URL جدید و مخرب را اضافه کند) و در نتیجه، با شروع پرینت گرفتن (در کامپیوتر قربانی) فرمان دلخواه را (روی کامپیوتر قربانی) اجرا کند. همچنین، این پژوهشگر، یک اثبات اکسپلویت را نیز منتشر کرده است.

هنوز توسعه‌دهندگان لینوکس هیچ پچی برای این آسیب‌پذیري‌ها منتشر نکرده‌اند. مارگارتی ادعا می‌کند که قرار بوده است تا اعلام این خبر تا ششم اکتبر (نوزدهم مهرماه) به تعویق بیافتاد اما نشت ناخواسته خبر او را مجبور کرده است تا این کشف مهم را عمومی‌سازی کند. او توصیه کرده است که تا زمان انتشار پچ مناسب برای برطرف کردن این آسیب‌پذیری‌ها، CUPS در سیستم‌های لینوکس، غیر فعال یا حذف شود.

با اینکه هنوز شدت این آسیب‌پذیری‌ها به طور رسمی مشخص نشده است اما مارگارتی در شبکه اجتماعی ایکس اعلام کرد که منابعی مثل Canonical، RedHat و دیگر منابع، شدت این آسیب‌پذیری را ۹.۹ برآورد کرده‌اند؛ هر چند که او توضیح داد که با نحوه امتیازدهی CVSS آشنایی نداشته است. این در حالی است که RedHat، شدت این آسیب‌پذیری‌ها را عمومی‌سازی نکرده است.

منبع Tenable در روز پنجشنبه پنجم مهرماه، به آسیب‌پذیری CVE-2024-47177 امتیاز ۹.۱ داده و آن را بحرانی داده است. این منبع، به سه آسیب‌پذیری دیگر کشف شده توسط مارگارتی، امتیاز شدید داده است. با اینکه تعدادی از فعالان حوزه امنیت سایبری، نسبت به شدت بالای این آسیب‌پذیری‌ها هشدار داده‌اند، Tenable اعلام کرده است که شاید این نگرانی‌ها خیلی بجا نباشد و نسبت به شدت آسیب‌پذیری‌ها، بزرگ‌نمایی شده باشد.

این آسیب‌پذیری‌های زنجیروار با آسیب‌پذیری Log4Shell، یک آسیب‌پذیری بحرانی اجرای کد که در سال ۲۰۲۱ در نرم‌افزار Log4j شناسایی شد، مقایسه شده‌اند. آن آسیب‌پذیری، امتیاز ۱۰ را در سیستم امتیازدهی CVSS کسب کرد و به طور گسترده‌ای، مورد استفاده گروه‌های هکری پیشرفته و گروه‌های باج‌افزاری قرار می‌گرفت.

Tenable، جستجویی در موتور جستجوی Shodan را به اشتراک گذاشته که حدود ۷۵ هزار هاست متصل به اینترنت را که CUPS روی آن‌ها اجرا می‌شود، پیدا کرده است. با این حال، این منبع مدیریت آسیب‌پذیری، بیان کرده است که این آسیب‌پذیری‌ها، به صورت آسیب‌پذیری روز-صفر اکسپلویت نشده‌اند. همچنین، Tenable به کاربران توصیه کرده است تا تمامی دستگاه‌های پرینتر را در لیست پرینترهای یافت‌شده در سیستم‌های آسیب‌پذیر، حذف یا غیر فعال کنند. همچنین، مسدود کردن ترافیک پورت UDP شماره ۶۳‍۱ نیز توصیه شده است.