Linux sistemlerinde bulunan CUPS (Common Unix Printing System) yazıcı sisteminde yeni bir dizi güvenlik açığı ortaya çıktı. Bu açıklar, belirli koşullar altında uzaktan komut yürütme olanağı sunma riski taşıyor. Güvenlik araştırmacısı Simone Margaritelli, "Bir uzaktan kimliği doğrulanmamış saldırgan, mevcut yazıcıların IPP URL'lerini sessizce değiştirebilir veya yeni yazıcılar kurabilir. Bu durum, bir baskı işi başladığında (o bilgisayardan) rastgele komut yürütmeye yol açabilir," açıklamasında bulundu.
Açıkların Detayları
CUPS, Linux ve diğer Unix benzeri işletim sistemleri için standartlara dayalı bir açık kaynaklı yazıcı sistemidir. Aşağıda, tespit edilen güvenlik açıklarının listesi yer almaktadır:
- CVE-2024-47176: cups-browsed <= 2.0.1, UDP INADDR_ANY:631 üzerinde bağlanarak, herhangi bir kaynaktan gelen paketlerin, bir saldırganın kontrolündeki URL'ye Get-Printer-Attributes IPP isteği tetiklemesine izin veriyor.
- CVE-2024-47076: libcupsfilters <= 2.1b1, IPP sunucusundan dönen IPP özniteliklerini doğrulamıyor veya temizlemiyor, bu da saldırgan kontrolündeki verilerin CUPS sistemine ulaşmasına neden oluyor.
- CVE-2024-47175: libppd <= 2.1b1, IPP özniteliklerini geçici bir PPD dosyasına yazarken doğrulama veya temizlik yapmıyor, bu da saldırgan kontrolündeki verilerin PPD dosyasına enjekte edilmesine olanak tanıyor.
- CVE-2024-47177: cups-filters <= 2.0.1, FoomaticRIPCommandLine PPD parametresi aracılığıyla rastgele komut yürütülmesine izin veriyor.
Güvenlik Riskleri ve Önlemler
RHEL, tüm işletim sistemi sürümlerinin bu dört açığa maruz kaldığını belirtmiştir, ancak varsayılan yapılandırmalarında bu açıkların etkili olmadığını vurgulamıştır. Kriz durumunun ciddiyeti "Önemli" olarak sınıflandırılmıştır, çünkü gerçek dünya etkisinin düşük olması muhtemeldir. Rapid7, etkilenen sistemlerin yalnızca UDP port 631'in erişilebilir olması durumunda, kamu internetinden veya ağ segmentleri üzerinden istismar edilebileceğini vurgulamıştır.
Güvenlik uzmanları, açığın etkilerini en aza indirmek için CUPS-browsed hizmetini devre dışı bırakmayı ve UDP port 631'e olan trafiği engellemeyi veya kısıtlamayı önermektedir. Güncellemeler üzerinde çalışılmaktadır ve beklenen yamaların yakın gelecekte yayınlanması planlanmaktadır.
Benjamin Harris, "Linux sistemleri için bir felaket senaryosu olarak görülen bu açıklar muhtemelen yalnızca belirli bir sistem grubunu etkileyecektir," şeklinde bir değerlendirme yapmıştır. Ayrıca, bu açıkların Log4Shell veya Heartbleed seviyesinde olmadığını belirten Tenable'dan Satnam Narang, "Güvenlik araştırmaları bu süreçte hayati öneme sahiptir ve yazılım sağlayıcılarından daha iyi sonuçlar talep edebiliriz," ifadesinde bulundu.