Αδυναμία του CUPS: Η Ανακάλυψη που Απειλεί την Ασφάλεια Δικτύων

Μια ευπάθεια που αποκαλύφθηκε πρόσφατα στο σύστημα εκτύπωσης ανοιχτού κώδικα Common Unix Printing System (CUPS) μπορεί να αξιοποιηθεί από παράγοντες απειλών για την έναρξη επιθέσεων κατανεμημένων άρνησης υπηρεσίας (DDoS) με συντελεστή ενίσχυσης 600x.

Όπως ανακάλυψαν οι ερευνητές ασφαλείας της Akamai, ένα ελάττωμα ασφαλείας CVE-2024-47176 στον δαίμονα που περιηγήθηκε σε cups, το οποίο μπορεί να συνδεθεί με τρία άλλα σφάλματα για να αποκτήσει απομακρυσμένη εκτέλεση κώδικα σε συστήματα τύπου Unix μέσω ενός μόνο πακέτου UDP, μπορεί επίσης να αξιοποιηθεί για την ενίσχυση του DDoS επιθέσεις.

Η ευπάθεια ενεργοποιείται όταν ένας εισβολέας στέλνει ένα ειδικά κατασκευασμένο πακέτο, ξεγελώντας έναν διακομιστή CUPS ώστε να αντιμετωπίσει έναν στόχο ως εκτυπωτή που θα προστεθεί.

Κάθε πακέτο που αποστέλλεται σε ευάλωτους διακομιστές CUPS τους προτρέπει να δημιουργήσουν μεγαλύτερα αιτήματα IPP/HTTP που στοχεύουν στη στοχευμένη συσκευή. Αυτό επηρεάζει τόσο τον στόχο όσο και τον διακομιστή CUPS, καταναλώνοντας το εύρος ζώνης και τους πόρους της CPU.

Ξεκινά με ένα μόνο κακόβουλο πακέτο UDP

Για να ξεκινήσει μια τέτοια επίθεση, ένας κακόβουλος παράγοντας χρειάζεται μόνο να στείλει ένα μόνο πακέτο σε μια εκτεθειμένη και ευάλωτη υπηρεσία CUPS που εκτίθεται στο διαδίκτυο. Οι ερευνητές της Akamai υπολογίζουν ότι περίπου 58.000 διακομιστές, από τις 198.000 εκτεθειμένες συσκευές, θα μπορούσαν να στρατολογηθούν για επιθέσεις DDoS.

Επιπλέον, εκατοντάδες ευάλωτες συσκευές παρουσίασαν έναν «άπειρο βρόχο» αιτημάτων, με ορισμένους διακομιστές CUPS να στέλνουν επανειλημμένα αιτήματα μετά τη λήψη μιας αρχικής διερεύνησης και ορισμένους διακομιστές να εισέρχονται σε έναν ατελείωτο βρόχο ως απόκριση σε συγκεκριμένα σφάλματα HTTP/404.

Πολλά από αυτά τα ευάλωτα μηχανήματα εκτελούσαν ξεπερασμένες εκδόσεις του CUPS (από το 2007), που είναι εύκολοι στόχοι για εγκληματίες του κυβερνοχώρου που μπορούν να τα εκμεταλλευτούν για να δημιουργήσουν botnet μέσω της αλυσίδας RCE ή να τα χρησιμοποιήσουν για ενίσχυση DDoS.

“Στο χειρότερο σενάριο, παρατηρήσαμε αυτό που φαινόταν να είναι μια ατελείωτη ροή απόπειρες συνδέσεων και αιτημάτων ως αποτέλεσμα μιας μόνο έρευνας. Αυτές οι ροές φαίνεται να μην έχουν τέλος και θα συνεχιστούν μέχρι να σκοτωθεί ή να επανεκκινηθεί ο δαίμονας.” οι ερευνητές Akamai είπε.

“Πολλά από αυτά τα συστήματα που παρατηρήσαμε κατά τη δοκιμή δημιούργησαν χιλιάδες αιτήματα, στέλνοντάς τα στην υποδομή δοκιμών μας. Σε ορισμένες περιπτώσεις, αυτή η συμπεριφορά φάνηκε να συνεχίζεται επ’ αόριστον.”

Δευτερόλεπτα χρειάστηκαν για να ξεκινήσει μια επίθεση

Αυτή η επίθεση ενίσχυσης DDoS απαιτεί επίσης ελάχιστους πόρους και λίγο χρόνο για να εκτελεστεί. Ο Akamai προειδοποιεί ότι ένας παράγοντας απειλής θα μπορούσε εύκολα να πάρει τον έλεγχο κάθε εκτεθειμένης υπηρεσίας CUPS στο Διαδίκτυο μέσα σε λίγα δευτερόλεπτα.

Συνιστάται στους διαχειριστές να αναπτύξουν ενημερώσεις κώδικα CVE-2024-47176 ή να απενεργοποιήσουν την εκτέλεση της υπηρεσίας περιήγησης σε cups για να αποκλείσουν πιθανές επιθέσεις για να μετριάσουν τον κίνδυνο να προστεθούν οι διακομιστές τους σε ένα botnet ή να χρησιμοποιηθούν σε επιθέσεις DDoS.

«Το DDoS συνεχίζει να είναι ένας βιώσιμος φορέας επίθεσης που χρησιμοποιείται για την παρενόχληση και την αναστάτωση των θυμάτων στο διαδίκτυο, από μεγάλες βιομηχανίες και κυβερνήσεις έως δημιουργούς μικρών περιεχομένου, ηλεκτρονικά καταστήματα και παίκτες», προειδοποίησαν οι ερευνητές του Akamai.

“Αν και η αρχική ανάλυση επικεντρώθηκε στο RCE, το οποίο θα μπορούσε να έχει πιο σοβαρό αποτέλεσμα, η ενίσχυση DDoS γίνεται επίσης εύκολα κατάχρηση σε αυτήν την περίπτωση.”

Όπως αποκάλυψε η Cloudflare αυτή την εβδομάδα, τα αμυντικά της συστήματα DDoS έπρεπε να προστατεύουν τους πελάτες από ένα κύμα υπερ-ογκομετρικών επιθέσεων L3/4 DDoS που έφταναν τα 3,8 terabit ανά δευτερόλεπτο (Tbps), τη μεγαλύτερη τέτοια επίθεση που έχει καταγραφεί ποτέ.