[datensicherheit.de, 10.10.2024] Auch die Check Point Software Technologies Ltd. warnt in einer aktuellen Stellungnahme vor „schwerwiegenden Sicherheitslücken im ,Common Unix Printing System’ (CUPS)“. Diese vom Sicherheitsexperten Simone Margaritelli (evilSocket) aufgedeckten Schwachstellen betreffen demnach „Linux“-Umgebungen und können zur Ausführung von schädlichem Code führen. Diese vier Schwachstellen seien öffentlich bekanntgemacht worden, nachdem das Entwickler-Team unzureichend auf die verantwortungsbewusste Offenlegung reagiert habe.

Abbildung: Check Point Software Technologies Ltd.

Übersicht der Schwachstellen mit CVE-Code

Hunderttausende von Geräten potenziell durch CUPS-Schwachstellen gefährdet

Die vier entdeckten Sicherheitslücken, darunter „CVE-2024-47177“ mit einem CVSS-Score von 9.0 („kritisch“), beträfen eine Vielzahl von „Linux“-Distributionen sowie Systeme wie „BSD“, „Oracle Solaris“ und „ChromeOS“.

„Ein Scan des Internets zeigte, dass Hunderttausende von Geräten potenziell gefährdet sind. Obwohl ,cloud’-basierte Workloads oft nicht betroffen sind, da Port 631 in der Regel geschlossen ist, sollten betroffene Systeme dringend aktualisiert werden.“

Maßnahmen und Schutzvorkehrungen

Um die Risiken der CUPS-Schwachstellen zu minimieren, empfiehlt Check Point nach eigenen Angaben folgende Maßnahmen:

Systeme aktualisieren und Patches installieren!
Es sollten Versionen „cups-browsed“ > 2.0.1, „libcupsfilters“ > 2.1b1 und „libppd“ > 2.1b1 eingesetzt werden.

Dienste deaktivieren!
Falls nicht benötigt, sollte der „cups“-browsed-Dienst vollständig deaktiviert werden.

Port 631 blockieren!
Wenn ein Update nicht sofort möglich ist, sollte jeglicher Verkehr zu Port 631 blockiert werden, um Angriffe zu verhindern.

Margaritelli weise darauf hin, dass weitere Schwachstellen bereits verantwortungsvoll offengelegt worden seien und eine erhöhte Wachsamkeit notwendig sei. Zudem gebe es bereits „PoC-Exploitcodes“ (Proof-of-Concept) für die aktuellen Sicherheitslücken. Check-Point-Kunden seien durch „CloudGuard“ geschützt (insbesondere gegen „Remote Code Execution“ [RCE], welche durch die Sicherheitslücke „CVE-2024-47176“ ausgelöst werden könne).

Weitere Informationen zum Thema:

CHECK POINT, 30.09.2024
How to Safeguard Your Systems from Linux CUPS Vulnerabilities

datensicherheit.de, 30.09.2024
Satnam Narang kommentiert Schwachstellen im CUPS-Drucksystem / Es gibt laut Satnam Narang noch eine breite Palette von Software – sei es „Open Source“ oder „Closed Source“ –, welche noch entdeckt und offengelegt werden müssten

datensicherheit.de, 27.09.2024
Über 76.000 Geräte von Kritischer Remote-Code-Schwachstelle in CUPS betroffen / „CUPS“ (Common Unix Printing System) ist das Standard-Drucksystem für viele „Unix“-ähnliche Betriebssysteme wie „GNU/Linux“

[datensicherheit.de, 30.09.2024] Vor Kurzem wurden im „Linux“-Drucksystem „CUPS“ teils Kritische Sicherheitslücken entdeckt, über welche Angreifer beispielsweise schädlichen Code einschmuggeln könnten. Satnam Narang, „Senior Staff Research Engineer“ bei Tenable, kommentiert in seiner aktuellen Stellungnahme diesen Vorfall:

Foto: Tenable

Satnam Narang: Entdeckte CUPS-Schwachstellen offenbar nicht so schwerwiegend wie z.B. „Log4Shell“ oder „Heartbleed“

Satnam Narang sieht in diesem Zusammenhang den Kontext als entscheidend an

Der Kontext sei in diesem Zusammenhang entscheidend. Narang erläutert: „Es ist wahrscheinlich, dass die ,CVSS-Scores’ für die Schwachstellen im ,CUPS’-Drucksystem – einschließlich der mit einem Score von 9,9 – nach unten korrigiert werden.“ Da die Offenlegung aus irgendeinem Grund vor dem geplanten Datum durchgesickert sei, seien die Details eilig nachgereicht worden, und die Hersteller seien immer noch dabei, „Advisories und Patches für diese Schwachstellen“ zusammenzustellen.

„Nach allem, was wir bisher erfahren haben, sind diese Schwachstellen nicht so schwerwiegend wie ,Log4Shell’ oder ,Heartbleed’“, so Narang. Tatsächlich gebe es unzählige Schwachstellen in einer breiten Palette von Software – sei es „Open Source“ oder „Closed Source“ –, welche noch entdeckt und offengelegt werden müssten.

Satnam Narang warnt vor APT-Gruppen mit Verbindungen zu Nationalstaaten und Ransomware-Banden

„Security-Research ist in diesem Prozess von entscheidender Bedeutung, und wir können und sollten mehr von den Software-Herstellern verlangen“, betont Narang. Die CISA-Direktorin, Jen Easterly, habe dies kürzlich in einer Keynote sehr treffend auf den Punkt gebracht.

Abschließend gibt Satnam Narang zu bedenken: „Für Unternehmen, die sich gegen diese neuesten Schwachstellen wappnen, ist es wichtig zu betonen, dass die schwerwiegendsten und beunruhigendsten die bekannten Schwachstellen sind, die weiterhin von APT-Gruppen mit Verbindungen zu Nationalstaaten und Ransomware-Banden ausgenutzt werden, die Unternehmen jedes Jahr um Millionen von Dollar bringen.“

Weitere Informationen zum Thema:

datensicherheit.de, 27.09.2024
Über 76.000 Geräte von Kritischer Remote-Code-Schwachstelle in CUPS betroffen / „CUPS“ (Common Unix Printing System) ist das Standard-Drucksystem für viele „Unix“-ähnliche Betriebssysteme wie „GNU/Linux“

[datensicherheit.de, 27.09.2024] „Bei der Ausführung von Remote-Code in ,Linux CUPS’ wurden neue Probleme entdeckt“, berichtet Saeed Abbasi, Produktmanager der „Threat Research Unit“ bei Qualys, in einer aktuellen Meldung. Laut einer Untersuchung der „Qualys Threat Research Unit“ sollen mehr als 76.000 Geräte betroffen sein, „von denen mehr als 42.000 öffentlich zugängliche Verbindungen akzeptieren“.

Foto: Qualys

Saeed Abbasi: Die Sicherheitslücke ermöglicht es Angreifern, beliebigen Code auszuführen…

Schwachstelle „CVE-2024-47176“ in „cups-browsed“-Versionen in verschiedenen „UNIX“-Systemen weit verbreitet

Abbasi erläutert: „,CUPS’ (Common Unix Printing System) ist das Standard-Drucksystem für viele ,Unix’-ähnliche Betriebssysteme wie ,GNU/Linux’-Distributionen und ,macOS’. Die Schwachstelle ,CVE-2024-47176‘ in ,cups-browsed’-Versionen ist in verschiedenen ,UNIX’-Systemen weit verbreitet, darunter ,GNU/Linux’-Distributionen, ausgewählte ,BSDs’, möglicherweise ,Oracle Solaris’ und ,Google Chromium/ChromeOS’.“ In einigen Fällen sei sie standardmäßig aktiviert, in anderen nicht.

Diese Schwachstellen ermöglichten es einem nicht authentifizierten Angreifer, die IPP-URLs vorhandener Drucker stillschweigend durch bösartige URLs zu ersetzen. Dies könne dazu führen, „dass auf dem betroffenen Computer beliebige Befehle ausgeführt werden, wenn ein Druckauftrag initiiert wird“. Ein Angreifer könne ein „speziell gestaltetes UDP-Paket“ über das öffentliche Internet an „Port 631“ senden und so die Schwachstellen ohne jegliche Authentifizierung ausnutzen.

Unternehmen sollten das Risiko der Kompromittierung von „CUPS“-Systemen bewerten!

Die Verbreitung von „GNU/Linux“-Systemen als Unternehmensserver, „Cloud“-Infrastrukturen und Kritischen Anwendungen stelle durch die Sicherheitslücke eine große Angriffsfläche dar und betreffe potenziell eine große Anzahl von Servern, Desktops und eingebetteten Geräten weltweit. Angreifer benötigten keine gültigen Anmeldeinformationen, um diese Sicherheitslücke auszunutzen. Abbasi warnt: „Die Sicherheitslücke ermöglicht es Angreifern, beliebigen Code auszuführen und möglicherweise die vollständige Kontrolle über betroffene Systeme zu erlangen. Die Sicherheitslücke hat einen CVSS-Wert von 9,9 und wird damit als ,kritisch’ eingestuft.“

Unternehmen sollten das Risiko der Kompromittierung von „CUPS“-Systemen bewerten. Es gelte den Netzwerkzugriff einzuschränken, nicht unbedingt erforderliche Dienste zu deaktivieren und strenge Zugriffskontrollen zu implementieren. „Linux“-Administratoren müssten sich auf eine schnelle Fehlerbehebung vorbereiten, sobald ein Patch verfügbar ist – „und die Patches natürlich vor dem Einspielen gründlich testen, um Ausfälle zu vermeiden“.

Weitere Informationen zum Thema:

Qualys Community, Saeed Abbasi, 26.09.2024
Critical Unauthenticated RCE Flaws in CUPS Printing Systems