Linux CUPS远程代码执行漏洞预警

2024-09-27

一、概要

        近日，华为云监控到互联网披露Linux CUPS（开源的打印系统）远程代码执行漏洞利用细节，cups-browsed组件在处理请求时，未经身份验证的攻击者可以构造特制的请求包触发漏洞，实现在目标主机上的RCE。目前已公布攻击链中利用到的4个CVE（CVE-2024-47176/CVE-2024-47076/CVE-2024-47175/CVE-2024-47177），后续可能还有更新。POC也已公开，风险高。

        CUPS 是一个广泛使用在 Linux/Unix 系统上的开源打印服务软件。华为云提醒使用Linux/Unix的用户及时安排自检并做好安全加固。

        参考链接：

        https://www.evilsocket.net/2024/09/26/Attacking-UNIX-systems-via-CUPS-Part-I/

二、威胁级别

        威胁级别：【严重】

        （说明：威胁级别共四级：一般、重要、严重、紧急） 

三、漏洞影响范围

        CVE-2024-47176 cups-browsed <= 2.0.1

        CVE-2024-47076 libcupsfilters <= 2.1b1

        CVE-2024-47175 libppd <= 2.1b1

        CVE-2024-47177 cups-filters <= 2.0.1

四、漏洞处置

        影响排查：

        检查系统是否启用CUPS相关服务，执行：

        systemctl status cups-browsed

        如果返回 “Unit cups-browsed.service could not be found.”，表示未安装 CUPS 相关服务，该系统不受漏洞影响

        如果返回服务状态，查看“Active”属性是否为“inactive (dead)”，如果是，则表示已安装但未启用服务，该系统不受漏洞影响；如果 “Active” 属性为 “active (running)”，则表示系统启用了服务，系统受漏洞影响。

        缓解措施：

        1、如果不使用Linux相关打印服务，禁用、删除cups-browsed；

        2、阻止UDP端口631的流量访问；

        漏洞修复：

        目前组件官方和各大Linux发行商暂未发布修复版本，请用户持续关注官方安全版本发布。

注：修复漏洞前请将资料备份，并进行充分测试。