Boletín 30 de Septiembre

Ramón Salado
September 30th, 2024

Múltiples vulnerabilidades en OpenPrinting CUPS

CVE-2024-47176: cups-browsed, versiones 2.0.1 y anteriores;
CVE-2024-47076: libcupsfilters, versiones 2.1b1 y anteriores;
CVE-2024-47175: libppd, versiones 2.1b1 y anteriores;
CVE-2024-47177: cups-filters, versiones 2.0.1 y anteriores.

El investigador, Simone EvilSocket Margaritelli, ha publicado un artículo en el que describe 4 vulnerabilidades, 1 de severidad crítica y 3 altas, que afectan a OpenPrinting CUPS (Common UNIX Printing System), un sistema de impresión de código abierto presente en la mayoría de las distribuciones Linux actuales. La explotación de estas vulnerabilidades podría permitir a un atacante remoto ejecutar código, lo que podría conducir al robo de datos confidenciales y/o dañar sistemas de producción críticos. En concreto, el atacante podría reemplazar URL de IPP (Internet Printing Protocol) de impresoras ya existentes (o instalar nuevas) por otras maliciosas, permitiendo la ejecución de comandos arbitrarios cuando se inicia el trabajo de impresión.

El equipo de seguridad de Canonical ha publicado actualizaciones para los paquetes cups-browsed, cups-filters, libcupsfilters y libppd para todas las versiones de Ubuntu LTS bajo soporte estándar.

Existen medidas de mitigación compartidas por RedHat, para detener la ejecución del servicio cups-browsed y evitar que se inicie al reiniciar:

sudo systemctl stop cups-browsed
sudo systemctl disable cups-browsed

Asimismo, para comprobar si cups-browsed está en ejecución en el sistema (el sistema no será vulnerable si el comando muestra la salida por pantalla Active: inactive (dead)):

sudo systemctl status cups-browsed

Aunque inicialmente se catalogaron con un score CVSSv3 de 9.9, con el paso de las horas se ha reconsiderado el score y se ha bajado a 8.3, con el vector CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H.

Desde el que se tuvo conocimiento de la vulnerabilidad el propio jueves, nuestro equipo de BlueTeam está revisando con cada cliente todos los equipos que pudieran están afectados. También hemos desplegado un HoneyPot con la vulnerabilidad explotable desde el exterior, con la idea de obtener Indicadores de Compromiso (IOCs) de forma directa.

Información Técnica

CVE-2024-47076 | CVE-2024-47175 | CVE-2024-47176 | CVE-2024-47177

SOC 24/7

Nuestro servicio de ciberSOC desarrolla una monitorización de seguridad sobre su infraestructura, detectando de manera temprana cualquier incidente de seguridad.

Auditoría de Seguridad

Nuestro equipo de RedTeam hace una evaluación de la seguridad, simulando un ciberataque externo, poniendo así a prueba a toda la organización.