Se ha lanzado un escáner automatizado para ayudar a los profesionales de la seguridad a escanear entornos en busca de dispositivos vulnerables a la falla RCE del Sistema de impresión común Unix (CUPS) identificada como CVE-2024-47176.
La falla, que permite a los atacantes ejecutar código arbitrariamente de forma remota si se cumplen ciertas condiciones, fue revelada a fines del mes pasado por su descubridor, Simone Margaritelli.
Aunque su aspecto RCE parece limitado en implementaciones del mundo real debido a los requisitos previos para su explotación, Akamai demostró más tarde que CVE-2024-47176 también abría la posibilidad de una amplificación 600x en ataques de denegación de servicio distribuido (DDoS).
El escáner fue creado por el investigador de ciberseguridad Marcus Hutchins (también conocido como «MalwareTech»), quien creó el escáner para ayudar a los administradores de sistemas a escanear sus redes e identificar rápidamente los dispositivos que ejecutan servicios vulnerables que CUPS está escaneando.
«La vulnerabilidad surge porque cups-browsed vincula su puerto de control (puerto UDP 631) a INADDR_ANY, exponiéndolo al mundo. Dado que las solicitudes no están autenticadas, cualquiera que pueda acceder al puerto de control puede solicitar a cups-browsed que realice una operación descubierta. imprimir.»
«En los casos en que no se pueda acceder al puerto desde Internet (debido a firewalls o NAT), aún se puede acceder a él a través de la red local, lo que permite la escalada de privilegios y el movimiento lateral».
«Por esta razón, creé este escáner diseñado para escanear su red local en busca de instancias vulnerables rastreadas por tazas». – Marcos Hutchins
Cómo funciona el escáner
El script Python (cups_scanner.py) configura un servidor HTTP en la máquina de escaneo que escucha las solicitudes HTTP entrantes (devoluciones de llamada) de los dispositivos en la red.
CVE-2024-47176 surge de la navegación por CUPS (un demonio que forma parte de CUPS) que vincula su puerto de control (puerto UDP 631) a INADDR_ANY, exponiendo el puerto a la red y permitiendo que cualquier sistema le envíe comandos.
El escáner envía un paquete UDP personalizado a la dirección de transmisión de la red en el puerto 631, enviado a cada dirección IP en el rango especificado, indicando a las instancias de CUPS que reenvíen una solicitud.
Si un dispositivo que ejecuta una instancia vulnerable atravesada por Cups recibe el paquete UDP, interpretará la solicitud y enviará una devolución de llamada HTTP al servidor, por lo que solo aquellos que respondan se marcan como vulnerables.
Los resultados se escriben en dos registros: uno (cups.log) que contiene las direcciones IP y la versión CUPS de los dispositivos que responden y otro (requests.log) que contiene las solicitudes HTTP sin procesar recibidas por el servidor de devolución de llamada que se pueden utilizar para una mayor información. -análisis en profundidad. .
Con este escáner, los administradores del sistema pueden planificar y ejecutar acciones de remediación o reconfiguración específicas, minimizando así la exposición de CVE-2024-47176 en línea.
BleepingComputer no ha probado el script y no puede garantizar su eficacia o seguridad, por lo que debes utilizarlo bajo tu propia responsabilidad.