CCNeko berriak

CCN-CERT AV 18/24 Publicación de vulnerabilidades de CUPS

El CCN-CERT, del Centro Criptológico Nacional, informa de la publicación de 4 vulnerabilidades, una crítica y 3 altas en OpenPrinting CUPS (Common UNIX Printing System) el sistema de impresión de código abierto desarrollado para sistemas operativos Unix.

La base de datos del NIST ha registrado todas vulnerabilidades descritas, sin embargo, aún no les ha asignado una puntuación de acuerdo a la escala CVSSv3, puesto que continúan en proceso de análisis. No obstante, teniendo en cuenta el impacto que podrían ocasionar y las características técnicas asociadas a cada amenaza, la compañía ha clasificado el fallo CVE-2024-47177 con una severidad crítica, habiéndole otorgado la puntuación de 9.0

Recursos afectados

La vulnerabilidad reportada como crítica afecta a los siguientes componentes de OpenPrinting CUPS:

  • CVE-2024-47177: Vulnerabilidad que se produce en el componente cups-filters, cualquier valor pasado a función “FoomaticRIPCommandLine” a través de un archivo PPD será ejecutado como un comando controlado por el usuario y, cuando se combina con otros errores lógicos, esto puede conducir a la ejecución de código remoto.

Para poder explotar la vulnerabilidad, se requiere que el dominio del servicio cups-browsed esté habilitado. Las configuraciones habituales tienen deshabilitado este servicio.

Solución a las vulnerabilidades

La compañía OpenPrinting, por el momento, no ha publicado un parche de seguridad para corregir los fallos descritos, sin embargo lo proveedores de las distribuciones de Linux están anunciando las siguientes medidas de mitigación alternativas hasta que se encuentren disponibles actualizaciones de seguridad oficiales:

Por un lado, el proveedor Red Hat propone detener el servicio cups-browsed si se encuentra en ejecución, un administrador debe utilizar el siguiente comando:

  • sudo systemctl stop cups-browsed

También se puede evitar que el servicio cups-browsed se inicie al reiniciar con el comando:

  • sudo systemctl disable cups-browsed

Por otro lado, el proveedor Ubuntu recomienda deshabilitar la detección de impresoras de red para servidores de impresión, ya que las impresoras ya configuradas seguirán estando disponibles, aunque, modificar el archivo de configuración asociado impediría que futuras actualizaciones desatendidas se completarán con éxito. Por esta razón, sólo recomiendan esta opción como último recurso, en tal caso se deberá de restaurar el archivo de configuración original una vez aplicadas las actualizaciones.

Los siguientes pasos de mitigación eliminan la capacidad del servidor de impresión para detectar nuevas impresoras de red y detiene la inyección del archivo PPD malicioso:

  • Edite el archivo de configuración “/etc/cups/cups-browsed.conf
  • Busque la opción de configuración “BrowseRemoteProtocols”
  • Establezca la opción en “none” (el valor por defecto es “dnssd cups»”)
  • Reinicie cups-browsed usando el comando:
    • systemctl restart cups-browsed

El CCN-CERT recomienda encarecidamente a los usuarios y administradores de sistemas que realicen las actualizaciones mencionadas con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.

Además de lo anterior, resulta conveniente cambiar las credenciales que se hubiesen establecido por defecto en los dispositivos afectados e implementar medidas de control de acceso y autenticación multifactor (MFA). Asimismo, resulta conveniente incorporar servicios de mitigación de DDoS, firewalls y sistemas de prevención de intrusiones (IPS) con el fin de detectar y eludir el tráfico anómalo que pudiera producirse contra los activos de la organización.

Referencias

Atentamente,

Equipo CCN-CERT