Новый сканер находит серверы Linux и UNIX, подверженные атакам CUPS RCE

Выпущен автоматический сканер, который поможет специалистам по безопасности проверить среду на наличие устройств, уязвимых к RCE-дефекту Common Unix Printing System (CUPS), отслеживаемому как CVE-2024-47176.

Дефект, позволяющий злоумышленникам инициировать произвольное удаленное выполнение кода при соблюдении определенных условий, был раскрыт в конце прошлого месяца человеком, обнаружившим его, Симоне Маргарителли.

Несмотря на то, что в реальных условиях атаки RCE выглядят ограниченными из-за необходимых условий эксплуатации, Akamai позже показала, что CVE-2024-47176 также открывает возможности для 600-кратного усиления распределенных атак типа «отказ в обслуживании» (DDoS).

Сканер был создан исследователем кибербезопасности Маркусом Хатчинсом (он же «MalwareTech»), который создал сканер, чтобы помочь системным администраторам просканировать свои сети и быстро выявить устройства, на которых запущены уязвимые CUPS-Browsed сервисы.

Принцип работы сканера

Python-скрипт (cups_scanner.py) устанавливает HTTP-сервер на сканирующей машине, который слушает входящие HTTP-запросы (callbacks) от устройств в сети.

CVE-2024-47176 возникает из-за того, что CUPS-browsed (демон, входящий в состав CUPS) привязывает свой порт управления (UDP-порт 631) к INADDR_ANY, открывая порт в сеть и позволяя любой системе отправлять на него команды.

Сканер отправляет пользовательский UDP-пакет на широковещательный адрес сети на порту 631, который рассылается на каждый IP-адрес в указанном диапазоне, сообщая экземплярам CUPS о необходимости отправить ответный запрос.

Если устройство, на котором запущен уязвимый экземпляр cups-browsed, получит UDP-пакет, оно интерпретирует запрос и отправит HTTP-обратный вызов серверу, так что только те устройства, которые отвечают, помечаются как уязвимые.



Результаты записываются в два журнала: один (cups.log) содержит IP-адреса и версию CUPS ответивших устройств, а другой (requests.log) - необработанные HTTP-запросы, полученные сервером обратного вызова, которые могут быть использованы для более глубокого анализа.

Используя этот сканер, системные администраторы могут планировать и выполнять целевые действия по исправлению или изменению конфигурации, минимизируя воздействие CVE-2024-47176 в сети.

BleepingComputer не тестировал этот скрипт и не может гарантировать его эффективность или безопасность, поэтому вы должны использовать его на свой страх и риск.

08.10.2024
https://www.bleepingcomputer.com/ne...nux-unix-servers-exposed-to-cups-rce-attacks/​

 

Есть кто может насканить и попробивать уяз серваки никсов? Пишите в пм