Une nouvelle faille dans CUPS, le système d'impression de Linux

Par:
francoistonic

mar, 01/10/2024 - 07:42

Il y a quelques jours une nouvelle faille dans le système d'impression Linux : Common Unix Printing System, ou CUPS. 

« Il est important de replacer cette faille dans son contexte. Il est probable que les scores CVSS attribués aux vulnérabilités du système d'impression CUPS, y compris celle notée 9,9, seront revus à la baisse. La divulgation de ces failles a été accidentellement précipitée avant la date prévue, forçant une publication des détails alors que les éditeurs travaillent encore sur les correctifs et les avis. D'après ce que nous savons, ces failles ne sont pas comparables à des incidents majeurs tels que Log4Shell ou Heartbleed. Dans le monde des logiciels, qu'ils soient open source ou propriétaires, il existe des milliers de vulnérabilités encore non découvertes. La recherche joue donc un rôle fondamental dans leur identification et nous devons exiger des éditeurs une plus grande rigueur. Il est primordial de rappeler aux entreprises qui se concentrent sur ces nouvelles failles que les vulnérabilités les plus graves restent celles qui sont déjà connues et régulièrement exploitées par des groupes d’attaquants liés à des menaces persistantes avancées (APT) par l’intermédiaire d’États ou à des groupes de ransomwares, qui continuent de dérober des millions aux entreprises chaque année. » précise l'équipe recherche de Tenable.

La faille permet une authentification distante non autorisée permettant de remplacer les imprimantes de manière silencieuse. Cela signifie que le remplacement se fait en toute transparence sans avertissement en utilisant les liens IPP pouvant inclure un code non autorisé s'exécutant localement quand une impression est lancée. 

Les systèmes concernés :

- de nombreuses distributions Linux

- des systèmes BSD

- peut-être Chromium

- Solaris

Solutions immédiates : désactiver et retirer cups-browsed, mise à jour de CUPS, si cela n'est pas possible, bloquer tous les trafics UDP sur le port 631 et tous les trafics DNS-SD ! Ce qui n'est pas simple si du zeroconf est utilisée

Tous les détails : https://www.evilsocket.net/2024/09/26/Attacking-UNIX-systems-via-CUPS-Part-I/#Summary