{"id":303595,"date":"2024-09-28T08:40:22","date_gmt":"2024-09-28T06:40:22","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=303595"},"modified":"2024-09-28T10:47:36","modified_gmt":"2024-09-28T08:47:36","slug":"linux-unix-rce-schwachstellen-im-cups-sept-2024","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/09\/28\/linux-unix-rce-schwachstellen-im-cups-sept-2024\/","title":{"rendered":"Linux\/Unix RCE-Schwachstellen im CUPS (Sept. 2024)"},"content":{"rendered":"

[English<\/a>]Im Drucksystems CUPS, welches unter Linux und Unix zum Einsatz kommt, gibt es gleich mehrere kritische Schwachstellen. Diese lassen sich unter bestimmten Konstellationen f\u00fcr Remote Code Execution-Angriffe (RCE) verwenden.<\/p>\n

<\/p>\n

Was ist CUPS?<\/h2>\n

\"\"Das K\u00fcrzel\u00a0CUPS<\/a> steht f\u00fcr Common Unix Printing System. Es handelt sich um ein Open-Source-Drucksystem, das als Daemon fungiert, der das Drucken unter den verschiedenen unixoiden Betriebssystemen sowie unter OS\/2\/EComStation erm\u00f6glicht.<\/p>\n

Entwickelt wurde es von Michael Sweedt, der die erste Version 1999 ver\u00f6ffentlichte. Im Jahr 2007 wurde Sweedt von Apple eingestellt und der Konzern erwarb auch die Rechte an CUPS. Die kommerzielle Variante von CUPS wurde dann eingestellt. Daher setzt auch\u00a0Apple in macOS, iOS und iPadOS<\/a> auf CUPS auf. Seit 2017 wird CUPS\u00a0unter der\u00a0Apache-Lizenz verbreitet und l\u00e4sst sich auch in Windows nutzen.<\/p>\n

Schwachstellen in CPUS<\/h2>\n

Der in Rom lebende und unter dem Alias evilsocket<\/a> publizierender Entwickler Simone Margaritelli (arbeitet aktuell bei DataFlow Forensic<\/a>), der laut eigener Aussage an CUPS mit entwickelt, hat gleich mehrere Schwachstellen in CUPS aufgedeckt.<\/p>\n

\"CUPS<\/a><\/p>\n

Zum 26. September 2024 hat er Teil I seiner Erkenntnisse auf evilsoft.net im Beitrag\u00a0Attacking UNIX Systems via CUPS, Part I<\/a> ver\u00f6ffentlicht. \u00dcber eine Verkettung der\u00a0 Schwachstellen CVE-2024-47076 (libcupsfilters), CVE-2024-47175 (libppd), CVE-2024-47176 (cups-browsed) und CVE-2024-47177 (cups-filters) k\u00f6nnen Angreifer unter bestimmten Bedingungen beliebigen Code remote auf verwundbaren Rechnern ausf\u00fchren.<\/p>\n

So durchsucht der cups-browsed-Daemon das Netzwerk nach freigegebenen Druckern.\u00a0 Dazu lauscht der Daemon am UDP-Port 631 nach Antworten und l\u00e4sst dabei standardm\u00e4\u00dfig Remote-Verbindungen von jedem Ger\u00e4t zu, um neue Druckerverbindungen zu erstellen.<\/p>\n

Margaritelli stie\u00df bei der Analyse auf eine Schwachstelle, so dass er einen PostScript Printer Description (PPD)-Drucker erstellen konnte, der manuell an einen offenen, von cups durchsuchten Dienst, der auf UDP-Port 631 l\u00e4uft, weitergereicht wird.<\/p>\n

Ein Rechner macht diesen Drucker automatisch remote zum Drucken verf\u00fcgbar. Gelingt es einem Angreifer, einen b\u00f6sartigen (PPD)-Drucker zu erstellen, kann er remote b\u00f6sartige Befehle auf dem lokalen Rechner ausf\u00fchren.<\/p>\n

Dazu braucht ein nicht authentifizierter remote Angreifer nur die IPP-URLs bestehender Drucker (oder neuer Drucker) unbemerkt durch eine b\u00f6sartige ersetzen. Das l\u00e4sst sich zur Ausf\u00fchrung beliebiger Befehle auf dem lokalen Rechner verwenden, indem ein Druckauftrag von diesem Computer gestartet wird.<\/p>\n

Im WLAN kann ein Remote-Angreifer, ggf. per Internet, ein UDP-Paket an Port 631 senden. Es erfolgt keine Authentifizierung. Ein lokaler Angreifer kann im lokalen Netzwerk die zeroconf-, mDNS-, und DNS-SD-Ank\u00fcndigungen f\u00e4lschen, um den gleichen Code-Pfad zu erreichen, der zur RCE f\u00fchrt, schreibt der Entdecker.\u00a0Simone Margaritelli hat in seinem Artikel folgende Schwachstellen benannt:<\/p>\n