🥇 ຊ່ອງໂຫວ່ທີ່ສາມາດຂູດຮີດຈາກໄລຍະໄກໃນເຊີບເວີພິມ CUPS

Simone Margaritelli, ຜູ້ຂຽນໄຟວໍ OpenSnitch ແລະໂປຣແກຣມວິເຄາະເຄືອຂ່າຍ bettercap, ໄດ້ເປີດເຜີຍຂໍ້ມູນກ່ຽວກັບຊ່ອງໂຫວ່ທີ່ສຳຄັນທີ່ເຄີຍປະກາດມາກ່ອນໜ້ານີ້ ເຊິ່ງອະນຸຍາດໃຫ້ມີການໂຈມຕີຈາກໄລຍະໄກຕໍ່ການແຈກຢາຍ GNU.Linux, Solaris, FreeBSD, ແລະລະບົບ BSD ອື່ນໆຈຳນວນໜຶ່ງ. ການປ່ອຍອອກມາໃນເບື້ອງຕົ້ນແມ່ນກຳນົດໄວ້ໃນວັນທີ 6 ຕຸລາ, ແຕ່ຍ້ອນການຮົ່ວໄຫຼ, ຂໍ້ມູນຕ້ອງໄດ້ປ່ອຍອອກມາກ່ອນກຳນົດ, ກ່ອນທີ່ການແຈກຢາຍສ່ວນໃຫຍ່ຈະມີເວລາອັບເດດແພັກເກດຂອງພວກມັນ. ຊ່ອງໂຫວ່ດັ່ງກ່າວສົ່ງຜົນກະທົບຕໍ່ເຊີບເວີການພິມ CUPS ແລະອະນຸຍາດໃຫ້ມີການປະຕິບັດລະຫັດຈາກໄລຍະໄກໂດຍບໍ່ຕ້ອງກວດສອບຄວາມຖືກຕ້ອງ.

ນັກຄົ້ນຄວ້າທີ່ໄດ້ກໍານົດບັນຫາດັ່ງກ່າວໄດ້ກະກຽມຕົ້ນແບບການເຮັດວຽກຂອງການຂູດຮີດທີ່ໃຊ້ການປະສົມປະສານຂອງຊ່ອງໂຫວ່ຫຼາຍແລະອະນຸຍາດໃຫ້ປະຕິບັດລະຫັດຫ່າງໄກສອກຫຼີກດ້ວຍສິດທິຂອງຂະບວນການປຸງແຕ່ງວຽກພິມ CUPS (ໂດຍປົກກະຕິແມ່ນຜູ້ໃຊ້ "lp"). ການຂູດຮີດອະນຸຍາດໃຫ້ທ່ານສາມາດທົດແທນຕົວກໍານົດການເຄື່ອງພິມຂອງຜູ້ໃຊ້ຢ່າງງຽບໆຫຼືເພີ່ມເຄື່ອງພິມໃຫມ່ທີ່ກ່ຽວຂ້ອງກັບເຄື່ອງແມ່ຂ່າຍ IPP ທີ່ຖືກໂຈມຕີ, ເຊິ່ງອອກຄໍາອະທິບາຍ PPD ອອກແບບພິເສດຂອງເຄື່ອງພິມການປຸງແຕ່ງ PPD ນີ້ໃນລະຫວ່າງການເປີດຕົວຂອງວຽກພິມນໍາໄປສູ່ການປະຕິບັດ ລະຫັດຂອງຜູ້ໂຈມຕີ (ມັນເປັນສິ່ງຈໍາເປັນສໍາລັບຜູ້ຖືກເຄາະຮ້າຍເພື່ອເລີ່ມຕົ້ນການພິມໃສ່ເຄື່ອງພິມທີ່ປ່ຽນແທນຫຼືປ່ຽນແທນໂດຍຜູ້ໂຈມຕີ).

ລະບົບທີ່ມີຄວາມສ່ຽງຕໍ່ການໂຈມຕີ ເຊີບເວີ ການພິມ CUPS ແລະຂະບວນການທ່ອງເວັບ cups ທີ່ກຳລັງແລ່ນ, ເຊິ່ງຍອມຮັບການເຊື່ອມຕໍ່ເຄືອຂ່າຍໃນພອດ 631 (UDP). ການໂຈມຕີຍັງສາມາດປະຕິບັດໄດ້ຈາກເຄືອຂ່າຍທ້ອງຖິ່ນ, ບ່ອນທີ່ການເຂົ້າເຖິງ ເຄື່ອງແມ່ຂ່າຍ ໂປໂຕຄອນ zeroconf, mDNS, ຫຼື DNS-SD ຖືກນໍາໃຊ້ສໍາລັບການພິມ. ມີພຽງແຕ່ການຕັ້ງຄ່າ cups-browsed ທີ່ມີພາລາມິເຕີ BrowseRemoteProtocols ຕັ້ງເປັນ "cups" ໃນໄຟລ໌ /etc/cups/cups-browsed.conf ເທົ່ານັ້ນທີ່ມີຄວາມສ່ຽງ. ໃນການແຈກຢາຍທີ່ອີງໃສ່ systemd, ທ່ານສາມາດກວດສອບວ່າການບໍລິການ cups-browsed ຖືກໃຊ້ດ້ວຍຄໍາສັ່ງ "sudo systemctl status cups-browsed."

ຊ່ອງໂຫວ່ດັ່ງກ່າວມີຜົນກະທົບຕໍ່ລະບົບການພິມທີ່ອີງໃສ່ CUPS ທັງໝົດທີ່ໃຊ້ຮຸ່ນທີ່ມີຊ່ອງໂຫວ່ຂອງ cups-filters, libcupsfilters, libppd, ແລະ cups-browsed packages. ການແກ້ໄຂໃນປະຈຸບັນມີໃຫ້ໃຊ້ເປັນແພັດຊ໌ເທົ່ານັ້ນ (1, 2, 3). ຮຸ່ນປັດຈຸບັນຂອງ cups-filters 2.0.1, libcupsfilters 2.1b1, libppd 2.1b1, ແລະ cups-browsed 2.0.1 ມີຄວາມສ່ຽງ. ບັນຫາດັ່ງກ່າວຍັງບໍ່ທັນໄດ້ຮັບການແກ້ໄຂໃນການແຈກຢາຍ; ການອັບເດດສາມາດພົບໄດ້ໃນໜ້າຕໍ່ໄປນີ້: Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch, FreeBSD. ເພື່ອເປັນການແກ້ໄຂຊົ່ວຄາວກ່ອນທີ່ຈະຕິດຕັ້ງການອັບເດດ, ທ່ານສາມາດບລັອກການເຂົ້າເຖິງພອດ UDP 631 ຈາກເຄືອຂ່າຍພາຍນອກ, ປິດການໃຊ້ງານການບໍລິການ cups-browsed, ຫຼືຕັ້ງຄ່າການຕັ້ງຄ່າ BrowseRemoteProtocols ເປັນ "none".

ຊ່ອງໂຫວ່ທີ່ລະບຸໄວ້:

CVE-2024-47176 ແມ່ນຊ່ອງໂຫວ່ໃນຂັ້ນຕອນການເບິ່ງ cups, ເຊິ່ງສ້າງຊັອກເກັດເຄືອຂ່າຍທີ່ຍອມຮັບການເຊື່ອມຕໍ່ຢູ່ໃນພອດ 631, ຕິດກັບສ່ວນຕິດຕໍ່ເຄືອຂ່າຍທັງໝົດໃນລະບົບ, ແລະຍອມຮັບການຮ້ອງຂໍ IPP “Get-Printer-Attributes” ຈາກພາຍນອກ. ລະບົບ. ໂດຍການຈັດການການບໍລິການນີ້, ມັນເປັນໄປໄດ້ທີ່ຈະເພີ່ມເຄື່ອງພິມທີ່ຄວບຄຸມໂດຍຜູ້ໂຈມຕີເຂົ້າໄປໃນລະບົບ, ແລະຂຸດຄົ້ນຊ່ອງຫວ່າງໃນອົງປະກອບ CUPS ອື່ນໆໂດຍການໂອນການຕັ້ງຄ່າ PPD.
CVE-2024-47177 ເປັນຊ່ອງໂຫວ່ໃນຕົວຈັດການ foomatic-rip ຈາກຊຸດ cups-filters, ເຊິ່ງອະນຸຍາດໃຫ້ການປະຕິບັດລະຫັດບັນລຸໄດ້ໂດຍການສົ່ງຜ່ານພາຣາມິເຕີ FoomaticRIPCommandLine ໃນໄຟລ໌ PPD, ເຊິ່ງຜູ້ໂຈມຕີສາມາດສົ່ງໄດ້ເນື່ອງຈາກຊ່ອງຫວ່າງທີ່ອະທິບາຍໄວ້ຂ້າງເທິງ. ໃນ cups-browsed. ຄໍາສັ່ງຂອງແກະທີ່ລະບຸໄວ້ໃນພາລາມິເຕີ FoomaticRIPCommandLine ຖືກປະຕິບັດເປັນ, ໂດຍບໍ່ມີການຄໍານຶງເຖິງຄວາມຈິງທີ່ວ່າພາລາມິເຕີສາມາດຖືກກໍານົດໂດຍຄົນພາຍນອກ. ຕົວຢ່າງ, ເພື່ອຂຽນໃສ່ໄຟລ໌ /tmp/VULNERABLE, ທ່ານສາມາດລະບຸ "FoomaticRIPCommandLine: "echo 1 > /tmp/VULNERABLE".
CVE-2024-47175 ແມ່ນຊ່ອງໂຫວ່ໃນ libppd ທີ່ເກີດຈາກການຂາດການກວດສອບຄ່າ ppdCreatePPDFromIPP2 ເມື່ອຂຽນຄຸນລັກສະນະ IPP ໃຫ້ກັບໄຟລ໌ PPD ຊົ່ວຄາວ. ບັນຫາອະນຸຍາດໃຫ້ທ່ານເພື່ອບັນລຸການທົດແທນຂໍ້ມູນ arbitrary ເຂົ້າໄປໃນໄຟລ໌ PPD ຜົນໄດ້ຮັບໂດຍການຄັດຕິດຄຸນລັກສະນະໂດຍໃຊ້ຕົວອັກສອນເສັ້ນ. ຕົວຢ່າງ, ທ່ານສາມາດຂ້າມການກວດສອບໄດ້ ແລະ, ພ້ອມກັບຄຸນສົມບັດທີ່ອະນຸຍາດ, ທົດແທນຄຸນສົມບັດ FoomaticRIPCommandLine ເພື່ອໃຊ້ຊ່ອງໂຫວ່ທີ່ກ່າວມາຂ້າງເທິງໃນ cups-filters.
CVE-2024-47076 ເປັນຊ່ອງໂຫວ່ໃນຫ້ອງສະໝຸດ libcupsfilters ຈາກຊຸດ cups-filters ເນື່ອງຈາກຂາດການຢັ້ງຢືນຄ່າ cfGetPrinterAttributes5 ທີ່ສົ່ງຄືນໂດຍເຊີບເວີ IPP ພາຍນອກ, ເຊິ່ງອະນຸຍາດໃຫ້ຜູ້ໂຈມຕີສາມາດຈັດຂະບວນການປະມວນຜົນຄຸນສົມບັດ IPP ທີ່ບໍ່ຄາດຄິດໃນຕົວອື່ນ. ລະບົບຍ່ອຍ CUPS, ຕົວຢ່າງ, ເມື່ອສ້າງໄຟລ໌ PPDs.

ສະຖານະການການໂຈມຕີສໍາລັບ CUPS ຕົ້ມລົງໄປໃນຂັ້ນຕອນຕໍ່ໄປນີ້:

ການນຳໃຊ້ເຊີບເວີ IPP ຂອງຜູ້ໂຈມຕີເອງ.
ການສົ່ງແພັກເກັດ UDP ໄປຫາຜູ້ເຄາະຮ້າຍດ້ວຍການເຊື່ອມຕໍ່ກັບເຄື່ອງພິມທີ່ເຊື່ອມຕໍ່ກັບເຄື່ອງແມ່ຂ່າຍ IPP ທີ່ເຮັດວຽກໂດຍຜູ້ໂຈມຕີ.
ຫຼັງຈາກໄດ້ຮັບແພັກເກັດນີ້, ລະບົບຜູ້ຖືກເຄາະຮ້າຍເຊື່ອມຕໍ່ກັບເຄື່ອງແມ່ຂ່າຍ IPP ຂອງຜູ້ໂຈມຕີແລະຮ້ອງຂໍຄຸນລັກສະນະຂອງເຄື່ອງພິມ.
ໃນການຕອບສະໜອງຕໍ່ການຮ້ອງຂໍຂອງຜູ້ເຄາະຮ້າຍ, ເຊີບເວີ IPP ຂອງຜູ້ໂຈມຕີຈະສົ່ງຄືນໄຟລ໌ PPD ທີ່ມີຄຸນສົມບັດ, ລວມທັງຄຸນສົມບັດ FoomaticRIPCommandLine. ຄຸນລັກສະນະນີ້ແມ່ນຕິດກັບຫນຶ່ງໃນຄຸນລັກສະນະທີ່ຖືກຕ້ອງໂດຍໃຊ້ຕົວອັກສອນ "\n" ໃນແຖວດຽວ (ຕົວຢ່າງ, "cupsPrivacyURI: "https://www.google.com/\n*FoomaticRIPCommandLine: "), ເຊິ່ງຂ້າມຜ່ານ ກວດສອບແລະນໍາໄປສູ່ການບັນທຶກ FoomaticRIPCommandLine ເປັນຄຸນລັກສະນະແຍກຕ່າງຫາກໃນເວລາທີ່ບັນທຶກຂໍ້ມູນທີ່ໄດ້ຮັບໄວ້ໃນໄຟລ໌ຊົ່ວຄາວ.
ເປັນຜົນມາຈາກການປະມວນຜົນຄຸນສົມບັດທີ່ຖ່າຍທອດ, ໄຟລ໌ PPD ໄດ້ຖືກສ້າງຂື້ນໃນລະບົບຂອງຜູ້ເຄາະຮ້າຍ: ... *cupsSNMPSupplies: False *cupsLanguages: “en” *cupsPrivacyURI: “https://www.google.com/” *FoomaticRIPCommandLine: “echo 1 > /tmp/I_AM_VULNERABLE " *cupsFilter2 : "application/pdf application/vnd.cups-postscript 0 foomatic-rip" *cupsSingleFile: True *cupsFilter2: "application/vnd.cups-pdf application/pdf 0 -". ..
ເມື່ອພິມໃສ່ເຄື່ອງພິມທີ່ຕັ້ງໂດຍຜູ້ໂຈມຕີ, ຄຳສັ່ງ “echo 1> /tmp/I_AM_VULNERABLE” ຈະຖືກປະຕິບັດໃນລະບົບຂອງຜູ້ເຄາະຮ້າຍ.

ນັກຄົ້ນຄວ້າຜູ້ທີ່ກໍານົດຈຸດອ່ອນໄດ້ສັງເກດວ່າມັນໃຊ້ເວລາສອງສາມມື້ເພື່ອຄົ້ນຫາຊ່ອງຫວ່າງ, ແຕ່ຫຼັງຈາກນັ້ນໄດ້ຕິດຕໍ່ກັບຜູ້ພັດທະນາໂຄງການ OpenPrinting ເປັນເວລາ 22 ມື້, ພະຍາຍາມເຮັດໃຫ້ພວກເຂົາເຫັນຄວາມສໍາຄັນຂອງບັນຫາແລະຄວາມຕ້ອງການ. ກະກຽມແຜ່ນ. ການສົນທະນາດັ່ງກ່າວໄດ້ກາຍເປັນຄວາມວຸ້ນວາຍໃນການໂຕ້ວາທີກ່ຽວກັບວ່າມັນຄຸ້ມຄ່າທີ່ຈະແກ້ໄຂບັນຫາເຫຼົ່ານີ້ທັງຫມົດ, ແລະສະຖານະການໄດ້ຫັນໄປສູ່ພຽງແຕ່ການຍົກສູງບົດບາດຂອງສາທາລະນະກ່ຽວກັບການກໍານົດບັນຫາທີ່ສໍາຄັນ. ສິ່ງທີ່ຫນ້າສົນໃຈກໍ່ຄືການປະກົດຕົວຂອງຂໍ້ມູນຮົ່ວໄຫຼ, ໃນລະຫວ່າງນັ້ນບົດລາຍງານຄວາມລັບແລະການຂູດຮີດທີ່ສົ່ງກັບ CERT ປາກົດຢູ່ໃນເວທີສົນທະນາ breachforums.st ໃນສາທາລະນະ, ເຖິງວ່າຈະມີການຂັດຂວາງການເປີດເຜີຍຂໍ້ມູນ.

ແຫຼ່ງຂໍ້ມູນ: opennet.ru

ຊ່ອງໂຫວ່ທີ່ສາມາດຂູດຮີດທາງໄກໃນເຊີບເວີພິມ CUPS