CUPS تحذير أمني: اكتشاف ثغرات جديدة تسمح بالتحكم عن بعد في أنظمة لينكس
CUPS هو نظام طباعة مفتوح المصدر قائم على المعايير لنظام Linux وأنظمة التشغيل الأخرى المشابهة لـ Unix
تم الكشف عن مجموعة جديدة من الثغرات الأمنية في نظام الطباعة OpenPrinting Common Unix (الكؤوس) على أنظمة Linux التي قد تسمح بتنفيذ الأوامر عن بعد في ظل ظروف معينة.
“يمكن لمهاجم غير مصادق عليه عن بعد أن يستبدل بصمت عناوين IPP للطابعات الحالية (أو تثبيت طابعات جديدة) بعناوين ضارة، مما يؤدي إلى تنفيذ أمر عشوائي (على الكمبيوتر) عند بدء مهمة طباعة (من ذلك الكمبيوتر)،” الباحث الأمني سيمون مارجريتيلي قال.
CUPS هو نظام طباعة مفتوح المصدر قائم على المعايير لنظام Linux وأنظمة التشغيل الأخرى المشابهة لـ Unix، بما في ذلك ArchLinux وDebian وFedora وRed Hat Enterprise Linux (RHEL) وChromeOS وFreeBSD وNetBSD وOpenBSD وopenSUSE وSUSE Linux. .
قائمة نقاط الضعف على النحو التالي –
والنتيجة الصافية لأوجه القصور هذه هي أنه يمكن تشكيلها في سلسلة استغلال تسمح للمهاجم بإنشاء جهاز طباعة ضار ومزيف على نظام Linux مكشوف للشبكة يقوم بتشغيل CUPS وتشغيل التعليمات البرمجية عن بعد عند إرسال مهمة طباعة.
“تنشأ المشكلة بسبب المعالجة غير الصحيحة لإعلانات “الطابعة الجديدة المتوفرة” في مكون “تصفح الكؤوس”، بالإضافة إلى ضعف التحقق من صحة المعلومات التي يقدمها مصدر طباعة ضار من خلال “أكواب”،” شركة أمن الشبكات Ontinue قال.
“تنشأ الثغرة الأمنية من عدم كفاية التحقق من صحة بيانات الشبكة، مما يسمح للمهاجمين بالحصول على النظام الضعيف لتثبيت برنامج تشغيل طابعة ضار، ثم إرسال مهمة طباعة إلى برنامج التشغيل هذا مما يؤدي إلى تنفيذ التعليمات البرمجية الضارة. ويتم تنفيذ التعليمات البرمجية الضارة بامتيازات مستخدم lp – وليس “جذر” المستخدم المتميز.”
وقالت شركة RHEL، في تقرير استشاري، إن جميع إصدارات نظام التشغيل تتأثر بالعيوب الأربعة، لكنها أشارت إلى أنها ليست عرضة للخطر في تكوينها الافتراضي. وقد صنفت المشكلات على أنها مهمة من حيث الخطورة، نظرًا لأن تأثيرها في العالم الحقيقي من المرجح أن يكون منخفضًا.
“من خلال ربط هذه المجموعة من الثغرات الأمنية معًا، يمكن للمهاجم تنفيذ تعليمات برمجية عن بعد مما قد يؤدي بعد ذلك إلى سرقة البيانات الحساسة و/أو إتلاف أنظمة الإنتاج المهمة.” قال.
شركة الأمن السيبراني Rapid7 وأشار أن الأنظمة المتأثرة قابلة للاستغلال، إما من الإنترنت العام أو عبر قطاعات الشبكة، فقط إذا كان منفذ UDP 631 قابلاً للوصول وكانت الخدمة الضعيفة تستمع.
بالو ألتو نتوركس لديها تم الكشف عنها أن أيًا من منتجاتها وخدماتها السحابية لا تحتوي على حزم البرامج ذات الصلة بـ CUPS المذكورة أعلاه، وبالتالي لا تتأثر بالعيوب.
ويجري حاليًا تطوير تصحيحات الثغرات الأمنية ومن المتوقع إصدارها في الأيام المقبلة.
وحتى ذلك الحين، يُنصح بتعطيل خدمة تصفح الكؤوس وإزالتها إذا لم تكن ضرورية، وحظر أو تقييد حركة المرور إلى منفذ UDP 631.
قال بنجامين هاريس، الرئيس التنفيذي لشركة WatchTowr، في بيان تمت مشاركته مع The Hacker News: “يبدو أن ثغرات Linux unauth RCE المحظورة والتي تم وصفها بأنها يوم القيامة لأنظمة Linux، قد تؤثر فقط على مجموعة فرعية من الأنظمة”.
“وبالنظر إلى هذا، على الرغم من أن نقاط الضعف من حيث التأثير الفني خطيرة، فمن غير المرجح بشكل كبير أن تتعرض أجهزة سطح المكتب/محطات العمل التي تعمل بنظام CUPS للإنترنت بنفس الطريقة أو الأرقام التي قد تتعرض لها إصدارات الخادم النموذجية لنظام التشغيل Linux.”
قال ساتنام نارانغ، كبير مهندسي الأبحاث في Tenable، إن نقاط الضعف هذه ليست على مستوى Log4Shell أو Heartbleed.
وقال نارانج: “الحقيقة هي أنه عبر مجموعة متنوعة من البرامج، سواء كانت مفتوحة أو مغلقة المصدر، هناك عدد لا يحصى من نقاط الضعف التي لم يتم اكتشافها والكشف عنها بعد”.
“إن الأبحاث الأمنية أمر حيوي لهذه العملية ويمكننا، بل ويجب علينا، أن نطالب بائعي البرامج بشكل أفضل.”
“بالنسبة للمؤسسات التي تعمل على معالجة نقاط الضعف الأخيرة هذه، من المهم تسليط الضوء على أن العيوب الأكثر تأثيرًا وإثارة للقلق هي نقاط الضعف المعروفة التي لا تزال مجموعات التهديد المستمرة المتقدمة التي لها علاقات مع الدول القومية، بالإضافة إلى الشركات التابعة لبرامج الفدية، تستغلها التي تسرق الشركات بملايين الدولارات كل عام.”
تحديث
قالت Akamai، في رؤيتها الخاصة لعيوب CUPS، إن الهجوم الذي يستفيد من هذه العيوب ليس “معقدًا بشكل خاص”، لكنه أكد على أنه يتطلب خطوات متعددة للاستغلال الناجح.
وقالت أيضًا إنها عثرت على حوالي 75000 جهاز في جميع أنحاء العالم تعرض CUPS للإنترنت، حيث وجدت شركة البنية التحتية للويب أن الخدمة تعمل على عدة منصات، بما في ذلك Ubuntu وmacOS وCentOS وDebian وFedora وOpenShift وOracle Linux Server وRed Hat وRocky. Linux، وSUSE، وopenSUSE، وAlmaLinux، وAmazon Linux، وغيرها.
المناطق الخمس الأكثر تعرضًا للفيروس هي كوريا الجنوبية (21,974)، والولايات المتحدة (11,413)، وهونج كونج (4,772)، وألمانيا (4,723)، والصين (4,570).
“ما يقرب من 5.4٪ من أجهزة Linux معرضة للإنترنت وتستقبل حركة المرور الواردة من مصادر خارجية،” Akamai ذُكر.
“عند فحص سياسات الشبكة التي تؤثر على حركة المرور هذه، رأينا أن 19.3% من هذه الأجهزة تسمح بحركة مرور الإنترنت الواردة بشكل افتراضي – مما يعني أنه لا توجد سياسات شبكة محددة معمول بها لتقييد أو التحكم في تدفق حركة المرور الواردة.”
