10年前から存在していた Linux の脆弱性と CUPS 攻撃:CVSS 9.9 だが CVE はまだ無い

Decade-Old Linux Vulnerability Can Be Exploited for DDoS Attacks on CUPS

2024/10/02 HackRead — サイバーセキュリティ研究者である Simone Margaritelli (別名 evilsocket) が、新たに発見した Linux の深刻な脆弱性について報告するこの欠陥は、10年前から存在しており、すべての GNU/Linux システムに影響を及ぼすものだ。なお、CVSS は 9.9 と評価されているが、CVE は割り当てられていない。この脆弱性の悪用に成功した攻撃者は、GNU/Linux システムの完全な制御が可能となり、Linux 上でのリモート・コード実行の可能性を得る。

それに加えて、クラウド・コンピューティング大手の Akamai とサイバーセキュリティ企業の Uptycs による新たな調査結果により、さらに差し迫った懸念事項が浮き彫りになっている。それは、この脆弱性も悪用に成功した攻撃者であれば、破壊的な DDoS 攻撃や、リモート・コード実行 (RCE) を、Linux 上で可能にすることだ。

Uptycs の調査

Uptycs の脅威研究チームは、悪意のプリンターをインストールし、認証を必要としないリモート・コード実行攻撃に悪用される、CUPS (Common UNIX Printing System) の複数の脆弱性を特定した CUPS とは、Linux/Unix 系の OS で広く使用されているオープンソースの印刷システムのことであり、それによりユーザーは、ネットワーク上のプリンターを共有し、印刷ジョブを管理できる。

この脆弱性は、利用可能なネットワーク・プリンターを検索するコンポーネントである、cups-browsed デーモンに存在する。攻撃者は、脆弱な CUPS サービスに対して悪意のパケットを送信することで、この脆弱性を悪用できる。このパケットは、実在しないプリンター記述ファイルを、攻撃者が指定したターゲット・サーバから取得するよう仕向けてサービスを欺く。

研究者たちによると、攻撃者は悪意の PPD ファイルを作成し、脆弱な CUPS サーバに送信することで、cups-browsed デーモンを有効化し、UDP ポート 631 を開き、被害者による悪意のプリンターへのアクセスを達成する。

Akamai の研究

攻撃者が脆弱な CUPS サーバを悪用し、分散型サービス拒否 (DDoS) 攻撃の増幅器へと変えてしまう脆弱性については、Akamai の SIRT (Security Incident Response Team) 研究者たちも発見している。それにより、攻撃者は脆弱なサーバを悪用し、DDoS ホストへと変えてしまうことが可能となる。

2024年10月1日に公開された、同社のブログ記事によると、この攻撃を構成するものは 、UDP パケットの誤解釈/悪意のデータのダウンロード/ターゲット・システムへの複数の TCP 接続の確立などであり、その結果としてサービス停止を引き起こす可能性を生じる。

問題の規模
  • Akamai が確認している、CUPS を実行しているインターネット接続デバイスは 198,000 台以上である。
  • これらのデバイスの、約 34% (58,000 以上) が攻撃に対して脆弱であった。
  • 最も影響を受けやすいのは、2007年にリリースされた、古いバージョンの CUPS である。
  • 攻撃力を大幅に高める増幅要因が、最大で 600倍になる可能性があることが、テストにより明らかになった。

これらのレポートで取り上げられている問題は、Margaritelli が発見した Linux の脆弱性とダイレクトに関係している。なぜなら、同氏が特定した脆弱性には、Common Unix Printing System(CUPS) を標的とした、リモート・コード実行エクスプロイト・チェーンが関わっているからだ。

このエクスプロイト・チェーンは、CVE-2024-47175 (libppd)/CVE-2024-47176 (cups-browsed)/CVE-2024-47177 (cups-filters)/CVE-2024-47076 (libcupsfilters) などの、複数の脆弱性を悪用して実行される。

保護を維持するために必要なことは、CUPS の最新バージョンをインストールし、libcupsfilters/libppd/cups-filters などの、全てのシステム・コンポーネントの更新を確認することだ。また、印刷機能が不可欠ではない場合には、cups-browsed デーモンを無効化するように設定し、信頼できるデバイスへのアクセスに制限する。さらに、ファイアウォール/侵入検知システム/IPS などを使用してネットワーク・セキュリティを強化し、セキュリティ・ポリシーを定期的に確認/更新することも重要だ。

このような脆弱性に対して、CVE が割り当てられない一方で、CVSS 値は 9.9 と評価されているという、ちょっと特異なケースが生じています。さらに、2024/09/26 の「Common UNIX Printing System (CUPS) の複数の脆弱性:現実での影響は限定的だが」にも関連しているようであり、攻撃が発生する場合の標的も定まっています。十分に、ご注意ください。よろしければ、Linux で検索も、ご利用ください。