漏洞概述 | |||
漏洞名称 | OpenPrinting CUPS存在组合漏洞致远程代码执行 | ||
安恒CERT评级 | 1级 | CVSS3.1评分 | 10.0(安恒自评) |
POC情况 | 已发现 | EXP情况 | 未发现 |
在野利用 | 未发现 | 研究情况 | 分析中 |
近日,安恒信息CERT监测到OpenPrinting CUPS存在多个漏洞(CVE-2024-47175、CVE-2024-47176、CVE-2024-47177、CVE-2024-47076),安恒研究院利用AVPT技术对这些漏洞进行综合评估,发现其存在组合利用的可能。并对这些漏洞的组合利用危害进行评估得出其危害极高。该产品主要使用客户行业分布广泛,建议客户尽快做好自查及防护。
漏洞信息
影响范围
影响版本:
CVE-2024-47175:libppd <= 2.1b1
CVE-2024-47176:cups-browsed <= 2.0.1
CVE-2024-47177:cups-filters <= 2.0.1
CVE-2024-47076:libcupsfilters <= 2.1b1
漏洞描述
漏洞编号:CVE-2024-47175
漏洞描述:在函数ppdCreatePPDFromIPP2中没有对从IPP(互联网打印协议)返回的属性进行充分验证,这可能导致攻击者通过恶意数据注入生成的PPD(PostScript Printer Description)文件,从而在受害系统上执行任意代码。
CVSS3.1分数:8.6
CVSS3.1向量:
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:H/A:N
漏洞描述
漏洞编号:CVE-2024-47176
漏洞描述:cups-browsed绑定到INADDR_ANY:631端口,它将会信任任何来源的网络数据包。攻击者可以利用这一漏洞通过伪造的URL发送恶意请求,进而引入恶意打印机,最终导致远程执行任意命令。
CVSS3.1分数:8.4
CVSS3.1向量:
CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H
漏洞描述
漏洞编号:CVE-2024-47177
漏洞描述:通过PPD文件传递给FoomaticRIPCommandLine的参数用户可控,导致攻击者可以利用该漏洞对其进行恶意构造致任意命令执行。
CVSS3.1分数:9.1
CVSS3.1向量:
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H
漏洞描述
漏洞编号:CVE-2024-47076
漏洞描述:攻击者可以通过发送恶意数据控制CUPS系统的行为,在生成PPD文件时引入恶意代码。
CVSS3.1分数:8.6
CVSS3.1向量:
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:H/A:N
产品能力覆盖
明鉴漏洞扫描系统(主机扫描)V1.0.3669.0及以上版本已支持检测。
修复方案
官方修复方案:
官方尚未发布修复方案,建议用户尽快采取措施,减少潜在的攻击面,并保持关注相关的安全更新和补丁发布。
临时缓解方案:
自我排查
1、检查cups-browsed服务状态,可以在终端运行以下命令:
systemctl status cups-browsed若服务正在运行,您将看到其状态显示为”active(running)”;若未启用,则可能会显示”inactive”或”failed”。
2、运行以下命令检查cups-browsed服务是否在系统启动时自动启用:
systemctl is-enabled cups-browsed若输出为“enabled”,则表示该服务会在系统启动时自动启动;若是“disabled”,则表示未启用。
3、使用CUPS Web界面查看:通过访问 CUPS Web 界面(通常是 http://localhost:631)并导航到“Administration”部分,可以查看当前服务的状态和配置。
4、运行以下命令以查看 cups-browsed 进程是否在运行:
ps aux | grep cups-browsed如果输出中有 cups-browsed 进程,则表示该服务正在运行。
若cups-browsed 服务启用但不必要,建议禁用该服务以提高安全性,可以通过以下命令禁用它:
sudo systemctl disable cups-browsed并停止该服务:
sudo systemctl stop cups-browsed参考资料
[1]https://security-tracker.debian.org/tracker/CVE-2024-47175
[2]https://security-tracker.debian.org/tracker/CVE-2024-47176
[3]https://security-tracker.debian.org/tracker/CVE-2024-47177
[4]https://security-tracker.debian.org/tracker/CVE-2024-47076
关于AVPT
AVPT技术适用于在评估漏洞优先级时,综合考虑漏洞本身的危害程度以及漏洞上下游利用组合的可能性。漏洞利用链指的是一系列不同漏洞相互结合,以实现更高级的攻击或渗透目标。其通常由多个漏洞进行组合利用,以绕过防御措施,以致更大的威胁。
安恒研究院自研的AVPT技术通过漏洞的公开信息,快速构建可利用的漏洞链。这些漏洞利用链包括历史漏洞和通用漏洞,展现了不同漏洞之间的关联性。从而进一步评估新发漏洞与历史漏洞存在组合利用的潜在风险。通过综合考虑不同漏洞链的组合情况,我们能够精确量化潜在风险,帮助用户重点关注可能导致系统威胁的漏洞组合。
技术支持
如有漏洞相关需求支持请联系400-6059-110获取相关能力支撑。
