Sicherheitsforscher haben eine kritische Schwachstelle im Common Unix Printing System (CUPS) entdeckt, die für massive DDoS-Verstärkungsangriffe missbraucht werden kann. Die als CVE-2024-47176 katalogisierte Sicherheitslücke im cups-browsed-Daemon ermöglicht es Angreifern, mit minimalem Aufwand enorme Datenmengen zu generieren und Zielsysteme zu überlasten.
Funktionsweise des Angriffs
Der Angriff basiert auf einer Schwachstelle im CUPS-Dienst, der für die Verwaltung von Druckaufträgen in Unix-Systemen zuständig ist. Ein Angreifer kann durch das Senden eines speziell präparierten Netzwerkpakets den CUPS-Server dazu bringen, ein beliebiges Zielsystem als Drucker zu interpretieren. Dies führt dazu, dass der kompromittierte CUPS-Server eine Flut von IPP/HTTP-Anfragen an das Opfersystem sendet.
Besonders besorgniserregend ist die Tatsache, dass für diesen Angriff nur ein einziges Paket an einen verwundbaren, aus dem Internet erreichbaren CUPS-Dienst gesendet werden muss. Die Auswirkungen sind dabei zweifach: Sowohl das eigentliche Ziel als auch der missbrauchte CUPS-Server werden durch die generierten Datenmengen belastet.
Ausmaß der Bedrohung
Laut Untersuchungen des Sicherheitsunternehmens Akamai sind etwa 34% der verwundbaren Geräte (58.000 von 198.000 entdeckten Systemen) für DDoS-Verstärkungsangriffe geeignet. Viele dieser Systeme laufen auf veralteten CUPS-Versionen, teilweise sogar aus dem Jahr 2007, was sie zu leichten Zielen für Cyberkriminelle macht.
Gefahr durch Endlosschleifen
Die Forscher stellten fest, dass einige betroffene CUPS-Server in gefährliche Endlosschleifen geraten können. In manchen Fällen sendeten Server nach Erhalt des initialen Pakets kontinuierlich Anfragen, während andere aufgrund von HTTP/404-Fehlern in eine unendliche Schleife gerieten. Akamai berichtet: „Im schlimmsten Fall beobachteten wir einen endlosen Strom von Verbindungsversuchen und Anfragen nach nur einem einzigen Test. Diese Ströme schienen kein Ende zu nehmen und setzten sich fort, bis der Daemon deaktiviert oder neu gestartet wurde.“
Enorme Verstärkungsfaktoren
Die Forscher konnten im Durchschnitt einen DDoS-Verstärkungsfaktor von 600:1 erzielen. Dies bedeutet, dass ein einzelnes von einem Angreifer gesendetes Paket zu 600-mal mehr Datenverkehr führen kann. Dieser Verstärkungsfaktor kann je nach Konfiguration und Umgebung variieren, stellt aber in jedem Fall eine erhebliche Bedrohung dar.
Angesichts der Schwere dieser Sicherheitslücke wird Systemadministratoren dringend empfohlen, umgehend Patches für CVE-2024-47176 zu installieren oder den cups-browsed-Dienst zu deaktivieren. Diese Maßnahmen sind entscheidend, um potenzielle Angriffe zu blockieren und das Risiko zu minimieren, dass verwundbare Server Teil eines DDoS-Botnetzes werden. Die zeitnahe Implementierung dieser Sicherheitsmaßnahmen ist von höchster Bedeutung, um die Integrität von Netzwerken zu schützen und die Auswirkungen dieser kritischen Schwachstelle einzudämmen.