Gracias por descargarlo.
Más recursos
Blog

Inmersión profunda: Navegando por la vulnerabilidad crítica CUPS en sistemas GNU-Linux

Laura Verheyde
Publicado el 07 de octubre de 2024
Seguridad de las aplicaciones
Codificación segura
Vulnerabilidad
Botón de reproducción de vídeo.
Botón de reproducción de vídeo.

Los usuarios de Linux no lo han tenido fácil últimamente, con varias vulnerabilidades de alta gravedad que han afectado al sistema de diversas maneras en los últimos años. Los investigadores de seguridad tienen ahora otro grupo de vulnerabilidades que desentrañar, todas ellas relacionadas con la función Common UNIX Printing System (CUPS) dirigida a sistemas GNU/Linux con una vía potencial para una potente Ejecución Remota de Código (RCE).

El 27 de septiembre de 2024, Simone Margaritelli de evilsocket.net publicó información crítica sobre varias vulnerabilidades explotables en CUPS, con CVEs posteriormente asignados a cuatro de ellas. Este número podría aumentar, pero en el momento de escribir estas líneas, la comunidad de seguridad está debatiendo la gravedad real de estos descubrimientos. Mientras que uno de los CVEs, CVE-2024-47177, tiene una calificación actual de gravedad crítica de 9.1 de MITRE, la manipulación exitosa de este fallo de inyección de comandos depende de servidores con el servicio CUPS habilitado y, además, requiere acceso al puerto UDP 631 o DNS-SD. RedHat señala, sin embargo, que es posible reasignar CUPS a un puerto diferente. 

El exhaustivo desglose del incidente realizado por Margaritelli revela una insidiosa y compleja cadena de ataques que, a pesar de los desacuerdos de la comunidad, no debe ignorarse. Nos ofrece una lección sobre dependencias aparentemente inocuas que pueden explotarse en profundidad si un actor de la amenaza está lo suficientemente decidido y si se han dejado pequeñas ventanas de oportunidad abiertas por patrones de codificación deficientes.

El escenario de CUPS es un poco diferente de lo que muchos desarrolladores y profesionales de AppSec pueden haber experimentado previamente, así que vamos a echar un vistazo y poner a prueba tus habilidades en el camino.

La vulnerabilidad: Ejecución remota de código (RCE) a través de CUPS

El blog Evilsocket proporciona una información inigualable y exhaustiva sobre estos exploits, y es un recurso que seguiremos de cerca. Margaritelli también cita una fuente anónima en su artículo, que no parece optimista sobre la solidez general de la seguridad de Linux:



"Desde un punto de vista de seguridad genérico, todo un sistema Linux tal y como es hoy en día no es más que un lío interminable y sin remedio de agujeros de seguridad esperando a ser explotados."

Se trata de un recordatorio aleccionador de los riesgos de seguridad inherentes que siguen prevaleciendo en los entornos de código abierto, por no mencionar la urgente necesidad de una mayor concienciación en materia de seguridad y de conocimientos de codificación segura entre la comunidad mundial de desarrolladores.

Echemos un vistazo a los CVE:

‍Lacadena de vulnerabilidades está muy extendida, y actualmente afecta a todas las versiones actuales y anteriores de los siguientes paquetes:

  • distrotech/tazas-filtros
  • OpenPrinting/tazas-filtros
  • Cups-browsed
  • libcupsfilters
  • libppd

CUPS ha sido un componente heredado de los sistemas operativos UNIX y Linux durante más de dos décadas. Su función como dependencia de servicios de impresión hace que esté ansioso por realizar peticiones de red, lo que lo convierte en un objetivo principal para las vulnerabilidades de clase RCE.

En este caso, sin embargo, hay algo de ingenio en la forma en que los ataques se combinan para proporcionar un resultado exitoso. Se trata esencialmente de la capacidad de un atacante no autenticado y no detectado para sustituir las URL del Protocolo de Impresión por Internet (IPP) por otras maliciosas, además de modificar directivas que pueden provocar la inyección de comandos en el "archivo PPD (PostScript Printer Description)", que es un archivo utilizado para describir las características de la impresora recién añadida. Esto resulta en un ataque de ejecución de comandos una vez que se activa un trabajo de impresión, y se basa en una falta de validación de entrada dentro de los componentes de CUPS.

Además, solucionar esta vulnerabilidad en particular crea una especie de arma de doble filo, como señala Evilsocket. CUPS incluye el filtro foomatic-rip, un ejecutable con un historial previo como componente explotable de alto riesgo. Las CVE relacionadas con este componente se remontan a 2011, y aunque se ha establecido que foomatic-rip puede aprovecharse para ejecutar comandos del sistema operativo, solucionarlo causa problemas de estabilidad y pérdida de compatibilidad con muchas impresoras antiguas. Se trata de un problema complejo de superar.

  1. El actor de la amenaza inicia el ataque
    1. CVE-2024-47176: cups-browsed <= 2.0.1 is vulnerable because it binds to UDP port 631 using INADDR_ANY, which means it trusts any packet received from any source. This allows an unauthenticated remote attacker to send a malicious UDP packet with a manipulated IPP URL (pointing to the attacker-controlled IPP server), triggering the vulnerability. The victim’s machine now thinks it’s connecting to a new printer and sends a request asking for printer attributes.
  2. El sistema víctima procesa los atributos de la impresora
    1. CVE-2024-47076: libcupsfilters <= 2.1b1 has a vulnerability in cfGetPrinterAttributes5, which does not properly validate or sanitize the IPP attributes returned from an IPP server. When cups-browsed processes the packet, it can be tricked into reading malicious attributes sent by the attacker.
  3. El sistema víctima se conecta al servidor IPP del atacante-controlador
    1. CVE-2024-47175: libppd <= 2.1b1 in the ppdCreatePPDFromIPP2 function does not properly validate or sanitize IPP attributes when saving them to a temporary PPD (PostScript Printer Description) file. This allows the attacker to inject arbitrary data into a PPD file, including the FoomaticRIPCommandLine directive, which the printing system can later execute.
  4. Victim system initiates print job and attacker’s code is executed
    CVE-2024-47177    : cups-filters <= 2.0.1 is vulnerable because the foomatic-rip filter executes arbitrary commands through the FoomaticRIPCommandLine directive, allowing the attacker to run commands as the cups-browsed process. The attacker waits for the victim’s machine to initiate a print job. The moment this happens, the attacker’s malicious code will be executed (Remote Code Execution).

¿Cómo mitigar el riesgo de RCE?

Las empresas que utilicen CUPS como parte de sus operaciones comerciales deben seguir los consejos de corrección recomendados por Evilsocket y RedHat. Esto incluye, pero no se limita a, la aplicación de parches de seguridad como una prioridad de nivel de emergencia.

Para la inyección de comandos en general, consulte nuestra guía completa.

Si está interesado en obtener más directrices de codificación gratuitas, consulte Secure Code Coach, que le ayudará a mantenerse al día de las mejores prácticas de codificación segura.

Ver recurso
Ver recurso

Descubra los últimos retos de seguridad a los que se enfrentan los usuarios de Linux mientras exploramos las recientes vulnerabilidades de alta gravedad en el Sistema de Impresión UNIX Común (CUPS). Aprenda cómo estos problemas pueden conducir a una potencial ejecución remota de código (RCE) y lo que puede hacer para proteger sus sistemas.

¿Quiere saber más?

Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.

Reservar una demostración
Compartir en:
Autor
Laura Verheyde
Publicado el 07 de octubre de 2024

Laura Verheyde es una desarrolladora de software en Secure Code Warrior centrada en la investigación de vulnerabilidades y la creación de contenidos para Missions y Coding labs.

Compartir en:
Botón de reproducción de vídeo.
Botón de reproducción de vídeo.

Los usuarios de Linux no lo han tenido fácil últimamente, con varias vulnerabilidades de alta gravedad que han afectado al sistema de diversas maneras en los últimos años. Los investigadores de seguridad tienen ahora otro grupo de vulnerabilidades que desentrañar, todas ellas relacionadas con la función Common UNIX Printing System (CUPS) dirigida a sistemas GNU/Linux con una vía potencial para una potente Ejecución Remota de Código (RCE).

El 27 de septiembre de 2024, Simone Margaritelli de evilsocket.net publicó información crítica sobre varias vulnerabilidades explotables en CUPS, con CVEs posteriormente asignados a cuatro de ellas. Este número podría aumentar, pero en el momento de escribir estas líneas, la comunidad de seguridad está debatiendo la gravedad real de estos descubrimientos. Mientras que uno de los CVEs, CVE-2024-47177, tiene una calificación actual de gravedad crítica de 9.1 de MITRE, la manipulación exitosa de este fallo de inyección de comandos depende de servidores con el servicio CUPS habilitado y, además, requiere acceso al puerto UDP 631 o DNS-SD. RedHat señala, sin embargo, que es posible reasignar CUPS a un puerto diferente. 

El exhaustivo desglose del incidente realizado por Margaritelli revela una insidiosa y compleja cadena de ataques que, a pesar de los desacuerdos de la comunidad, no debe ignorarse. Nos ofrece una lección sobre dependencias aparentemente inocuas que pueden explotarse en profundidad si un actor de la amenaza está lo suficientemente decidido y si se han dejado pequeñas ventanas de oportunidad abiertas por patrones de codificación deficientes.

El escenario de CUPS es un poco diferente de lo que muchos desarrolladores y profesionales de AppSec pueden haber experimentado previamente, así que vamos a echar un vistazo y poner a prueba tus habilidades en el camino.

La vulnerabilidad: Ejecución remota de código (RCE) a través de CUPS

El blog Evilsocket proporciona una información inigualable y exhaustiva sobre estos exploits, y es un recurso que seguiremos de cerca. Margaritelli también cita una fuente anónima en su artículo, que no parece optimista sobre la solidez general de la seguridad de Linux:



"Desde un punto de vista de seguridad genérico, todo un sistema Linux tal y como es hoy en día no es más que un lío interminable y sin remedio de agujeros de seguridad esperando a ser explotados."

Se trata de un recordatorio aleccionador de los riesgos de seguridad inherentes que siguen prevaleciendo en los entornos de código abierto, por no mencionar la urgente necesidad de una mayor concienciación en materia de seguridad y de conocimientos de codificación segura entre la comunidad mundial de desarrolladores.

Echemos un vistazo a los CVE:

‍Lacadena de vulnerabilidades está muy extendida, y actualmente afecta a todas las versiones actuales y anteriores de los siguientes paquetes:

  • distrotech/tazas-filtros
  • OpenPrinting/tazas-filtros
  • Cups-browsed
  • libcupsfilters
  • libppd

CUPS ha sido un componente heredado de los sistemas operativos UNIX y Linux durante más de dos décadas. Su función como dependencia de servicios de impresión hace que esté ansioso por realizar peticiones de red, lo que lo convierte en un objetivo principal para las vulnerabilidades de clase RCE.

En este caso, sin embargo, hay algo de ingenio en la forma en que los ataques se combinan para proporcionar un resultado exitoso. Se trata esencialmente de la capacidad de un atacante no autenticado y no detectado para sustituir las URL del Protocolo de Impresión por Internet (IPP) por otras maliciosas, además de modificar directivas que pueden provocar la inyección de comandos en el "archivo PPD (PostScript Printer Description)", que es un archivo utilizado para describir las características de la impresora recién añadida. Esto resulta en un ataque de ejecución de comandos una vez que se activa un trabajo de impresión, y se basa en una falta de validación de entrada dentro de los componentes de CUPS.

Además, solucionar esta vulnerabilidad en particular crea una especie de arma de doble filo, como señala Evilsocket. CUPS incluye el filtro foomatic-rip, un ejecutable con un historial previo como componente explotable de alto riesgo. Las CVE relacionadas con este componente se remontan a 2011, y aunque se ha establecido que foomatic-rip puede aprovecharse para ejecutar comandos del sistema operativo, solucionarlo causa problemas de estabilidad y pérdida de compatibilidad con muchas impresoras antiguas. Se trata de un problema complejo de superar.

  1. El actor de la amenaza inicia el ataque
    1. CVE-2024-47176: cups-browsed <= 2.0.1 is vulnerable because it binds to UDP port 631 using INADDR_ANY, which means it trusts any packet received from any source. This allows an unauthenticated remote attacker to send a malicious UDP packet with a manipulated IPP URL (pointing to the attacker-controlled IPP server), triggering the vulnerability. The victim’s machine now thinks it’s connecting to a new printer and sends a request asking for printer attributes.
  2. El sistema víctima procesa los atributos de la impresora
    1. CVE-2024-47076: libcupsfilters <= 2.1b1 has a vulnerability in cfGetPrinterAttributes5, which does not properly validate or sanitize the IPP attributes returned from an IPP server. When cups-browsed processes the packet, it can be tricked into reading malicious attributes sent by the attacker.
  3. El sistema víctima se conecta al servidor IPP del atacante-controlador
    1. CVE-2024-47175: libppd <= 2.1b1 in the ppdCreatePPDFromIPP2 function does not properly validate or sanitize IPP attributes when saving them to a temporary PPD (PostScript Printer Description) file. This allows the attacker to inject arbitrary data into a PPD file, including the FoomaticRIPCommandLine directive, which the printing system can later execute.
  4. Victim system initiates print job and attacker’s code is executed
    CVE-2024-47177    : cups-filters <= 2.0.1 is vulnerable because the foomatic-rip filter executes arbitrary commands through the FoomaticRIPCommandLine directive, allowing the attacker to run commands as the cups-browsed process. The attacker waits for the victim’s machine to initiate a print job. The moment this happens, the attacker’s malicious code will be executed (Remote Code Execution).

¿Cómo mitigar el riesgo de RCE?

Las empresas que utilicen CUPS como parte de sus operaciones comerciales deben seguir los consejos de corrección recomendados por Evilsocket y RedHat. Esto incluye, pero no se limita a, la aplicación de parches de seguridad como una prioridad de nivel de emergencia.

Para la inyección de comandos en general, consulte nuestra guía completa.

Si está interesado en obtener más directrices de codificación gratuitas, consulte Secure Code Coach, que le ayudará a mantenerse al día de las mejores prácticas de codificación segura.

Ver recurso
Ver recurso

Rellene el siguiente formulario para descargar el informe

Nos gustaría contar con su permiso para enviarle información sobre nuestros productos y/o temas relacionados con la codificación segura. Siempre trataremos sus datos personales con el máximo cuidado y nunca los venderemos a otras empresas con fines de marketing.

Enviar
Para enviar el formulario, habilite las cookies "Analytics". Siéntase libre de desactivarlas de nuevo una vez que haya terminado.
Botón de reproducción de vídeo.
Botón de reproducción de vídeo.

Los usuarios de Linux no lo han tenido fácil últimamente, con varias vulnerabilidades de alta gravedad que han afectado al sistema de diversas maneras en los últimos años. Los investigadores de seguridad tienen ahora otro grupo de vulnerabilidades que desentrañar, todas ellas relacionadas con la función Common UNIX Printing System (CUPS) dirigida a sistemas GNU/Linux con una vía potencial para una potente Ejecución Remota de Código (RCE).

El 27 de septiembre de 2024, Simone Margaritelli de evilsocket.net publicó información crítica sobre varias vulnerabilidades explotables en CUPS, con CVEs posteriormente asignados a cuatro de ellas. Este número podría aumentar, pero en el momento de escribir estas líneas, la comunidad de seguridad está debatiendo la gravedad real de estos descubrimientos. Mientras que uno de los CVEs, CVE-2024-47177, tiene una calificación actual de gravedad crítica de 9.1 de MITRE, la manipulación exitosa de este fallo de inyección de comandos depende de servidores con el servicio CUPS habilitado y, además, requiere acceso al puerto UDP 631 o DNS-SD. RedHat señala, sin embargo, que es posible reasignar CUPS a un puerto diferente. 

El exhaustivo desglose del incidente realizado por Margaritelli revela una insidiosa y compleja cadena de ataques que, a pesar de los desacuerdos de la comunidad, no debe ignorarse. Nos ofrece una lección sobre dependencias aparentemente inocuas que pueden explotarse en profundidad si un actor de la amenaza está lo suficientemente decidido y si se han dejado pequeñas ventanas de oportunidad abiertas por patrones de codificación deficientes.

El escenario de CUPS es un poco diferente de lo que muchos desarrolladores y profesionales de AppSec pueden haber experimentado previamente, así que vamos a echar un vistazo y poner a prueba tus habilidades en el camino.

La vulnerabilidad: Ejecución remota de código (RCE) a través de CUPS

El blog Evilsocket proporciona una información inigualable y exhaustiva sobre estos exploits, y es un recurso que seguiremos de cerca. Margaritelli también cita una fuente anónima en su artículo, que no parece optimista sobre la solidez general de la seguridad de Linux:



"Desde un punto de vista de seguridad genérico, todo un sistema Linux tal y como es hoy en día no es más que un lío interminable y sin remedio de agujeros de seguridad esperando a ser explotados."

Se trata de un recordatorio aleccionador de los riesgos de seguridad inherentes que siguen prevaleciendo en los entornos de código abierto, por no mencionar la urgente necesidad de una mayor concienciación en materia de seguridad y de conocimientos de codificación segura entre la comunidad mundial de desarrolladores.

Echemos un vistazo a los CVE:

‍Lacadena de vulnerabilidades está muy extendida, y actualmente afecta a todas las versiones actuales y anteriores de los siguientes paquetes:

  • distrotech/tazas-filtros
  • OpenPrinting/tazas-filtros
  • Cups-browsed
  • libcupsfilters
  • libppd

CUPS ha sido un componente heredado de los sistemas operativos UNIX y Linux durante más de dos décadas. Su función como dependencia de servicios de impresión hace que esté ansioso por realizar peticiones de red, lo que lo convierte en un objetivo principal para las vulnerabilidades de clase RCE.

En este caso, sin embargo, hay algo de ingenio en la forma en que los ataques se combinan para proporcionar un resultado exitoso. Se trata esencialmente de la capacidad de un atacante no autenticado y no detectado para sustituir las URL del Protocolo de Impresión por Internet (IPP) por otras maliciosas, además de modificar directivas que pueden provocar la inyección de comandos en el "archivo PPD (PostScript Printer Description)", que es un archivo utilizado para describir las características de la impresora recién añadida. Esto resulta en un ataque de ejecución de comandos una vez que se activa un trabajo de impresión, y se basa en una falta de validación de entrada dentro de los componentes de CUPS.

Además, solucionar esta vulnerabilidad en particular crea una especie de arma de doble filo, como señala Evilsocket. CUPS incluye el filtro foomatic-rip, un ejecutable con un historial previo como componente explotable de alto riesgo. Las CVE relacionadas con este componente se remontan a 2011, y aunque se ha establecido que foomatic-rip puede aprovecharse para ejecutar comandos del sistema operativo, solucionarlo causa problemas de estabilidad y pérdida de compatibilidad con muchas impresoras antiguas. Se trata de un problema complejo de superar.

  1. El actor de la amenaza inicia el ataque
    1. CVE-2024-47176: cups-browsed <= 2.0.1 is vulnerable because it binds to UDP port 631 using INADDR_ANY, which means it trusts any packet received from any source. This allows an unauthenticated remote attacker to send a malicious UDP packet with a manipulated IPP URL (pointing to the attacker-controlled IPP server), triggering the vulnerability. The victim’s machine now thinks it’s connecting to a new printer and sends a request asking for printer attributes.
  2. El sistema víctima procesa los atributos de la impresora
    1. CVE-2024-47076: libcupsfilters <= 2.1b1 has a vulnerability in cfGetPrinterAttributes5, which does not properly validate or sanitize the IPP attributes returned from an IPP server. When cups-browsed processes the packet, it can be tricked into reading malicious attributes sent by the attacker.
  3. El sistema víctima se conecta al servidor IPP del atacante-controlador
    1. CVE-2024-47175: libppd <= 2.1b1 in the ppdCreatePPDFromIPP2 function does not properly validate or sanitize IPP attributes when saving them to a temporary PPD (PostScript Printer Description) file. This allows the attacker to inject arbitrary data into a PPD file, including the FoomaticRIPCommandLine directive, which the printing system can later execute.
  4. Victim system initiates print job and attacker’s code is executed
    CVE-2024-47177    : cups-filters <= 2.0.1 is vulnerable because the foomatic-rip filter executes arbitrary commands through the FoomaticRIPCommandLine directive, allowing the attacker to run commands as the cups-browsed process. The attacker waits for the victim’s machine to initiate a print job. The moment this happens, the attacker’s malicious code will be executed (Remote Code Execution).

¿Cómo mitigar el riesgo de RCE?

Las empresas que utilicen CUPS como parte de sus operaciones comerciales deben seguir los consejos de corrección recomendados por Evilsocket y RedHat. Esto incluye, pero no se limita a, la aplicación de parches de seguridad como una prioridad de nivel de emergencia.

Para la inyección de comandos en general, consulte nuestra guía completa.

Si está interesado en obtener más directrices de codificación gratuitas, consulte Secure Code Coach, que le ayudará a mantenerse al día de las mejores prácticas de codificación segura.

Empezar a trabajar

Haga clic en el siguiente enlace y descargue el PDF de este recurso.

Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.

Ver el informeReservar una demostración
Descargar PDF
Ver recurso
Compartir en:
¿Quiere saber más?

Compartir en:
Autor
Laura Verheyde
Publicado el 07 de octubre de 2024

Laura Verheyde es una desarrolladora de software en Secure Code Warrior centrada en la investigación de vulnerabilidades y la creación de contenidos para Missions y Coding labs.

Compartir en:

Los usuarios de Linux no lo han tenido fácil últimamente, con varias vulnerabilidades de alta gravedad que han afectado al sistema de diversas maneras en los últimos años. Los investigadores de seguridad tienen ahora otro grupo de vulnerabilidades que desentrañar, todas ellas relacionadas con la función Common UNIX Printing System (CUPS) dirigida a sistemas GNU/Linux con una vía potencial para una potente Ejecución Remota de Código (RCE).

El 27 de septiembre de 2024, Simone Margaritelli de evilsocket.net publicó información crítica sobre varias vulnerabilidades explotables en CUPS, con CVEs posteriormente asignados a cuatro de ellas. Este número podría aumentar, pero en el momento de escribir estas líneas, la comunidad de seguridad está debatiendo la gravedad real de estos descubrimientos. Mientras que uno de los CVEs, CVE-2024-47177, tiene una calificación actual de gravedad crítica de 9.1 de MITRE, la manipulación exitosa de este fallo de inyección de comandos depende de servidores con el servicio CUPS habilitado y, además, requiere acceso al puerto UDP 631 o DNS-SD. RedHat señala, sin embargo, que es posible reasignar CUPS a un puerto diferente. 

El exhaustivo desglose del incidente realizado por Margaritelli revela una insidiosa y compleja cadena de ataques que, a pesar de los desacuerdos de la comunidad, no debe ignorarse. Nos ofrece una lección sobre dependencias aparentemente inocuas que pueden explotarse en profundidad si un actor de la amenaza está lo suficientemente decidido y si se han dejado pequeñas ventanas de oportunidad abiertas por patrones de codificación deficientes.

El escenario de CUPS es un poco diferente de lo que muchos desarrolladores y profesionales de AppSec pueden haber experimentado previamente, así que vamos a echar un vistazo y poner a prueba tus habilidades en el camino.

La vulnerabilidad: Ejecución remota de código (RCE) a través de CUPS

El blog Evilsocket proporciona una información inigualable y exhaustiva sobre estos exploits, y es un recurso que seguiremos de cerca. Margaritelli también cita una fuente anónima en su artículo, que no parece optimista sobre la solidez general de la seguridad de Linux:



"Desde un punto de vista de seguridad genérico, todo un sistema Linux tal y como es hoy en día no es más que un lío interminable y sin remedio de agujeros de seguridad esperando a ser explotados."

Se trata de un recordatorio aleccionador de los riesgos de seguridad inherentes que siguen prevaleciendo en los entornos de código abierto, por no mencionar la urgente necesidad de una mayor concienciación en materia de seguridad y de conocimientos de codificación segura entre la comunidad mundial de desarrolladores.

Echemos un vistazo a los CVE:

‍Lacadena de vulnerabilidades está muy extendida, y actualmente afecta a todas las versiones actuales y anteriores de los siguientes paquetes:

  • distrotech/tazas-filtros
  • OpenPrinting/tazas-filtros
  • Cups-browsed
  • libcupsfilters
  • libppd

CUPS ha sido un componente heredado de los sistemas operativos UNIX y Linux durante más de dos décadas. Su función como dependencia de servicios de impresión hace que esté ansioso por realizar peticiones de red, lo que lo convierte en un objetivo principal para las vulnerabilidades de clase RCE.

En este caso, sin embargo, hay algo de ingenio en la forma en que los ataques se combinan para proporcionar un resultado exitoso. Se trata esencialmente de la capacidad de un atacante no autenticado y no detectado para sustituir las URL del Protocolo de Impresión por Internet (IPP) por otras maliciosas, además de modificar directivas que pueden provocar la inyección de comandos en el "archivo PPD (PostScript Printer Description)", que es un archivo utilizado para describir las características de la impresora recién añadida. Esto resulta en un ataque de ejecución de comandos una vez que se activa un trabajo de impresión, y se basa en una falta de validación de entrada dentro de los componentes de CUPS.

Además, solucionar esta vulnerabilidad en particular crea una especie de arma de doble filo, como señala Evilsocket. CUPS incluye el filtro foomatic-rip, un ejecutable con un historial previo como componente explotable de alto riesgo. Las CVE relacionadas con este componente se remontan a 2011, y aunque se ha establecido que foomatic-rip puede aprovecharse para ejecutar comandos del sistema operativo, solucionarlo causa problemas de estabilidad y pérdida de compatibilidad con muchas impresoras antiguas. Se trata de un problema complejo de superar.

  1. El actor de la amenaza inicia el ataque
    1. CVE-2024-47176: cups-browsed <= 2.0.1 is vulnerable because it binds to UDP port 631 using INADDR_ANY, which means it trusts any packet received from any source. This allows an unauthenticated remote attacker to send a malicious UDP packet with a manipulated IPP URL (pointing to the attacker-controlled IPP server), triggering the vulnerability. The victim’s machine now thinks it’s connecting to a new printer and sends a request asking for printer attributes.
  2. El sistema víctima procesa los atributos de la impresora
    1. CVE-2024-47076: libcupsfilters <= 2.1b1 has a vulnerability in cfGetPrinterAttributes5, which does not properly validate or sanitize the IPP attributes returned from an IPP server. When cups-browsed processes the packet, it can be tricked into reading malicious attributes sent by the attacker.
  3. El sistema víctima se conecta al servidor IPP del atacante-controlador
    1. CVE-2024-47175: libppd <= 2.1b1 in the ppdCreatePPDFromIPP2 function does not properly validate or sanitize IPP attributes when saving them to a temporary PPD (PostScript Printer Description) file. This allows the attacker to inject arbitrary data into a PPD file, including the FoomaticRIPCommandLine directive, which the printing system can later execute.
  4. Victim system initiates print job and attacker’s code is executed
    CVE-2024-47177    : cups-filters <= 2.0.1 is vulnerable because the foomatic-rip filter executes arbitrary commands through the FoomaticRIPCommandLine directive, allowing the attacker to run commands as the cups-browsed process. The attacker waits for the victim’s machine to initiate a print job. The moment this happens, the attacker’s malicious code will be executed (Remote Code Execution).

¿Cómo mitigar el riesgo de RCE?

Las empresas que utilicen CUPS como parte de sus operaciones comerciales deben seguir los consejos de corrección recomendados por Evilsocket y RedHat. Esto incluye, pero no se limita a, la aplicación de parches de seguridad como una prioridad de nivel de emergencia.

Para la inyección de comandos en general, consulte nuestra guía completa.

Si está interesado en obtener más directrices de codificación gratuitas, consulte Secure Code Coach, que le ayudará a mantenerse al día de las mejores prácticas de codificación segura.

Índice

Descargar PDF
Ver recurso
¿Quiere saber más?

Secure Code Warrior está a disposición de su organización para ayudarle a proteger el código a lo largo de todo el ciclo de vida de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es director de AppSec, desarrollador, CISO o cualquier persona implicada en la seguridad, podemos ayudar a su organización a reducir los riesgos asociados a un código inseguro.

Reservar una demostraciónDescargar
Compartir en:
Centro de recursos

Recursos para empezar

Más entradas

Conseguir el apoyo de los promotores

La formación en materia de seguridad puede parecer un obstáculo más en el flujo de trabajo de un desarrollador, pero este folleto destaca lo que puede aportarles.

Más información
26 de mayo de 2025
Un localizador
Un localizador

Panorama de la gestión de riesgos de los promotores

La gestión de riesgos del desarrollador es un enfoque holístico y proactivo de la seguridad de las aplicaciones, centrado en quienes contribuyen al código y no en los bits y bytes de la propia capa de la aplicación.

12 de mayo de 2025
Libros blancos

Seguridad desde el diseño: Definición de las mejores prácticas, capacitación de los desarrolladores y evaluación comparativa de los resultados de la seguridad preventiva

En este documento de investigación, los cofundadores Secure Code Warrior , Pieter Danhieux y el Dr. Matias Madou, Ph.D., junto con los expertos colaboradores, Chris Inglis, ex Director Nacional Cibernético de EE.UU. (ahora Asesor Estratégico de Paladin Capital Group), y Devin Lynch, Director Senior, Paladin Global Institute, revelarán los hallazgos clave de más de veinte entrevistas en profundidad con líderes de seguridad empresarial, incluyendo CISOs, un VP de Seguridad de Aplicaciones y profesionales de seguridad de software.

28 de abril de 2025
Seminario en línea

Evaluación comparativa de las competencias en materia de seguridad: optimización del diseño seguro en la empresa

Encontrar datos significativos sobre el éxito de las iniciativas Secure-by-Design es notoriamente difícil. Los responsables de la seguridad de la información se enfrentan a menudo al reto de demostrar el rendimiento de la inversión (ROI) y el valor empresarial de las actividades de los programas de seguridad, tanto a nivel de las personas como de la empresa. Por no mencionar que a las empresas les resulta especialmente difícil obtener información sobre cómo se comparan sus organizaciones con los estándares actuales del sector. La Estrategia Nacional de Ciberseguridad del Presidente desafió a las partes interesadas a "adoptar la seguridad y la resiliencia desde el diseño". La clave para que las iniciativas de seguridad por diseño funcionen no es sólo dotar a los desarrolladores de las habilidades necesarias para garantizar un código seguro, sino también garantizar a los reguladores que esas habilidades están en su lugar. En esta presentación, compartimos una miríada de datos cualitativos y cuantitativos, derivados de múltiples fuentes primarias, incluidos puntos de datos internos recogidos de más de 250.000 desarrolladores, opiniones de clientes basadas en datos y estudios públicos. Aprovechando esta agregación de puntos de datos, pretendemos comunicar una visión del estado actual de las iniciativas Secure-by-Design en múltiples verticales. El informe detalla por qué este espacio está actualmente infrautilizado, el impacto significativo que un programa de mejora de las competencias puede tener en la mitigación de los riesgos de ciberseguridad y el potencial para eliminar categorías de vulnerabilidades de un código base.

17 de abril de 2025
Centro de recursos

Recursos para empezar

Más entradas

Estableciendo el estándar: SCW publica reglas de seguridad de codificación de IA gratuitas en GitHub

El desarrollo asistido por IA ya no es una posibilidad: ya está aquí y está transformando rápidamente la forma de escribir software. Herramientas como GitHub Copilot, Cline, Roo, Cursor, Aider y Windsurf están transformando a los desarrolladores en sus propios copilotos, permitiendo iteraciones más rápidas y acelerando todo, desde la creación de prototipos hasta grandes proyectos de refactorización.

Más información
17 de junio de 2025
Blog
Blog

Cierre el círculo de las vulnerabilidades con Secure Code Warrior + HackerOne

Secure Code Warrior se complace en anunciar nuestra nueva integración con HackerOne, líder en soluciones de seguridad ofensiva. Juntos, estamos construyendo un ecosistema potente e integrado. HackerOne señala dónde se producen realmente las vulnerabilidades en entornos reales, exponiendo el "qué" y el "dónde" de los problemas de seguridad.

27 de mayo de 2025
Blog

Revelado: Cómo define el sector cibernético la seguridad por diseño

En nuestro último libro blanco, nuestros cofundadores, Pieter Danhieux y el doctor Matias Madou, se sentaron con más de veinte líderes de seguridad empresarial, incluidos CISO, líderes de AppSec y profesionales de la seguridad, para averiguar las piezas clave de este rompecabezas y descubrir la realidad detrás del movimiento Secure by Design. Se trata de una ambición compartida por todos los equipos de seguridad, pero no de un libro de jugadas compartido. 

28 de abril de 2025
Blog

¿Vibe Coding va a convertir tu código en una fiesta de fraternidad?

Vibe Coding es como una fiesta de fraternidad universitaria, y la IA es la pieza central de todos los festejos, el barril. Es muy divertido dar rienda suelta a la creatividad y ver adónde te lleva tu imaginación, pero después de unas cuantas borracheras, beber (o usar IA) con moderación es, sin duda, la solución más segura a largo plazo.

4 de abril de 2025

Codificación orientada al desarrollador.

Con seguridad.

Póngase en contacto con nosotros hoy mismo y haga de la seguridad del software una parte intrínseca de su proceso de desarrollo.

Reservar una demostración
Conectar
Facebook
X
LinkedIn
Producto
Learning platformLenguas y vulnerabilidades
Aprenda
MisionesLaboratorios de codificaciónCoursesMissionsDesafíosVídeosRecorridosDirectrices
Medida
TournamentsEvaluacionesPuntuación de confianza de SCW
Integre
Agente fiduciario de SCWIntegraciones
Soluciones
¿Por qué elegir SCW?
Por sector
Venta al por menorFinanzas y bancaSegurosTecnologíaAutomóvilesSanidad
Para equipos diferentes
C-SuiteEquipos de seguridadEquipos de ingeniería
Por caso de uso
Lograr el ROILograr la conformidadSeguridad por diseñoAumentar las competencias y la productividadMitigar el riesgo
Recursos
BlogCentro de recursosVídeosFolletoLibros blancosCasos prácticosInformesInfografíaLibros electrónicosSeminarios webGuíasEntrenador de código seguro
Empresa
Sobre nosotrosSociosCarrerasCentro de confianzaContacto con nosotrosEventosDossier de prensaDirectricesTienda Swag
Ayuda y soporte técnico
Centro de ayudaCentro de confianzaDeclaración de accesibilidadPREGUNTAS FRECUENTESServicios profesionalesÉxito de los clientes
Sydney
Boston
Portland
Londres
Brujas
Reikiavik
Copyright © 2015-2023 Secure Code Warrior Limited.
Política de privacidadPolítica de cookies | Accesibilidad | Aviso legal |