Cybersicherheitsexperten haben kürzlich eine Reihe kritischer Schwachstellen im weit verbreiteten CUPS-Drucksystem (Common UNIX Printing System) aufgedeckt. Diese Sicherheitslücken könnten es Angreifern unter bestimmten Umständen ermöglichen, beliebigen Code auf verwundbaren Systemen auszuführen. Die Entdeckung wirft ein Schlaglicht auf potenzielle Risiken in einer grundlegenden Komponente vieler Linux- und Unix-ähnlicher Betriebssysteme.
Details zu den entdeckten Schwachstellen
Der italienische Sicherheitsforscher Simone Margaritelli identifizierte insgesamt vier Schwachstellen, die mit den CVE-Kennungen CVE-2024-47076, CVE-2024-47175, CVE-2024-47176 und CVE-2024-47177 versehen wurden. Diese betreffen verschiedene Komponenten des CUPS-Systems, darunter libcupsfilters, libppd, cups-browsed und cups-filters. Der Kern des Problems liegt im cups-browsed-Daemon, der für die Erkennung von Netzwerkdruckern zuständig ist.
Funktionsweise des Angriffs
Unter bestimmten Konfigurationen lauscht cups-browsed auf dem UDP-Port 631 und erlaubt standardmäßig Remote-Verbindungen von jedem Gerät im Netzwerk. Ein Angreifer könnte einen bösartigen IPP-Server einrichten und einen manipulierten PostScript Printer Description (PPD) Drucker erstellen. Wenn ein Benutzer auf diesem kompromittierten Drucker druckt, könnte schädlicher Code auf dem Zielsystem ausgeführt werden.
Einschränkungen und reale Auswirkungen
Trotz des Potenzials für Remote-Code-Ausführung gibt es einige mildernde Faktoren. Ilkka Turunen, CTO bei Sonatype, erklärt: „Es handelt sich um eine Kette von Bugs, die auf Drucker-Spoofing im lokalen Netzwerk basieren. Die Auswirkungen in der Praxis dürften gering sein.“ Für einen erfolgreichen Angriff müssen mehrere Bedingungen erfüllt sein:
- Der cups-browsed-Daemon muss aktiv sein (in den meisten Systemen standardmäßig deaktiviert)
- Der Angreifer benötigt Zugriff auf den UDP-Port 631
- Ein Benutzer muss dazu gebracht werden, den kompromittierten Drucker zu verwenden
Empfohlene Sicherheitsmaßnahmen
Da Patches noch in Entwicklung sind, empfehlen Experten folgende Schritte zur Risikominimierung:
- Deaktivieren Sie den cups-browsed-Dienst mit den Befehlen:
sudo systemctl stop cups-browsed sudo systemctl disable cups-browsed
- Überprüfen Sie den Status von cups-browsed:
sudo systemctl status cups-browsed
- Blockieren Sie den Zugriff auf UDP-Port 631
- Erwägen Sie die Blockierung von DNS-SD, da Angreifer auch Zeroconf-, mDNS- oder DNS-SD-Spoofing nutzen könnten
Diese Sicherheitslücken in CUPS unterstreichen die Bedeutung regelmäßiger Sicherheitsüberprüfungen und -updates, selbst bei grundlegenden Systemkomponenten. Administratoren sollten wachsam bleiben und die empfohlenen Sicherheitsmaßnahmen umsetzen, um ihre Systeme zu schützen. Während die realen Auswirkungen dieser Schwachstellen möglicherweise begrenzt sind, zeigen sie doch, wie wichtig es ist, auch scheinbar harmlose Dienste wie Drucksysteme in umfassende Sicherheitsstrategien einzubeziehen.