تم اكتشاف ثغرة أمنية جديدة مؤخرًا في خادم الطباعة المستخدم على نطاق واسع والذي يتم تثبيته افتراضيًا في العديد من أنظمة واجهة المستخدم الرسومية المستندة إلى Linux وUnix. ناقل الهجوم الأساسي لهذه الثغرة الأمنية هو برنامج جدولة الطباعة CUPS (نظام الطباعة الخلوية العامة)، وتحديداً نظام التصفح بالأكواب، والذي يتمتع بإمكانية تنفيذ التعليمات البرمجية عن بُعد دون الحاجة إلى أي تفاعل من المستخدم.
وفقًا للتقارير، أعطت RHEL وCanonical الثغرة الأمنية درجة CVSS تبلغ 9.9، لكن هذه النتيجة أثارت جدلًا ساخنًا، حيث جادل البعض بأنها يجب أن تحصل على درجة أقل لأنه على الرغم من إمكانية تنزيل الكود عن بعد إلى النظام، إلا أنه لا يمكن تنفيذه دون تدخل المستخدم. ولحسن الحظ، لا يوجد دليل على استغلال الخلل، على الرغم من أن الكشف تسرب عبر الإنترنت قبل الكشف الخاص المقرر له في أكتوبر، مما دفع المطور الذي اكتشفه إلى نشر شرح كامل على مدونته. في هذه الحالة، من المرجح أن تبدأ الجهات الفاعلة الخبيثة في استغلال الثغرة الأمنية.
وفقًا لمنشور مدونة مطول للباحث SimoneMargaritelli، فإن الخدمات المتعلقة بنظام الطباعة CUPS معرضة لتنفيذ التعليمات البرمجية عن بُعد. في الأساس، يخدع النظام المهاجم برنامج جدولة الطباعة للاعتقاد بأنها طابعة ويرسل برامج ضارة (من المحتمل أن تكون تعليمات برمجية تعسفية قابلة للتنفيذ) متخفية في شكل ملف تكوين الطابعة. لا تتطلب هذه العملية أي تدخل من المستخدم لأن CUPS سيقبل أي حزمة مرسلة عبر المنفذ *:631.
إحاطة:
CVE-2024-47176|cups-browsed<=2.0.1 يرتبط بـ UDPINADDR_ANY:631، ويثق في أي حزمة من أي مصدر لتشغيل طلب Get-Printer-Attributes IPP إلى عنوان URL يتحكم فيه المهاجم.
CVE-2024-47076|libcupsfilters<=2.1b1cfGetPrinterAttributes5 لا يتحقق من صحة سمات IPP التي يتم إرجاعها من خادم IPP أو يصححها، مما يوفر بيانات يتحكم فيها المهاجم إلى أجزاء أخرى من نظام CUPS.
CVE-2024-47175|libppd<=2.1b1ppdCreatePPDFromIPP2 لا يتحقق من صحة سمات IPP أو يصححها عند كتابتها إلى ملف PPD مؤقت، مما يسمح بإدخال البيانات التي يتحكم فيها المهاجم في PPD الذي تم إنشاؤه.
CVE-2024-47177|cup-filters<=2.0.1foomatic-rip يسمح بتنفيذ أوامر عشوائية عبر معلمة FoomaticRIPCommandLinePPD.
ويعتمد هذا الاستغلال على عدد كبير من الثغرات الأمنية غير المصححة، وبعضها عمره أكثر من عقد من الزمن، لذلك يعد هذا مصدر قلق خاص لمستخدمي الأنظمة المستندة إلى Linux أو Unix. لكي يعمل ناقل الهجوم هذا، يحتاج النظام إلى تثبيت وتشغيل CUPS (نظام طباعة Unix المشترك) وتصفح الكؤوس، وهو الإعداد الافتراضي في العديد من الأنظمة. وفقًا لـ Margaritelli، يوجد حاليًا ما بين 200.000 إلى 300.000 نظام متصل بالإنترنت ويقدم خدمات الطباعة، لكن تقارير Shodan (انظر الصورة أعلاه) تشير إلى أن هناك ما يقرب من 76.000 نظام مزود بمنافذ CUPS مفتوحة ومتصلة بالإنترنت.
في حين يدعي الباحثون أن معظم توزيعات GNU/Linux، بالإضافة إلى ChromeOS وmacOS، قد تأثرت، تجدر الإشارة إلى أن هذا ليس التكوين الافتراضي للعديد من توزيعات Linux، ولا ينبغي أن يكون بشكل خاص تكوين أي خوادم كبيرة أو مراكز بيانات، مما يعني أن أكبر مجموعة مستهدفة ستكون مستخدمي أجهزة الكمبيوتر الشخصية التي تعمل بنظام Linux.