cups-browsed远程代码执行漏洞 (CVE-2024-47176) 安全风险通告

01 漏洞详情

影响组件

CUPS是一个开源的打印系统，用于Linux和其他类UNIX操作系统。CUPS使用Internet Printing Protocol (IPP)来实现本地和网络打印机的打印功能。cups-browsed是一个开源的打印服务组件，它是Common UNIX Printing System (CUPS)的一部分。cups-browsed负责在本地网络上自动发现和添加打印机，使用mDNS（多播DNS）或DNS-SD（DNS服务发现）协议来侦测网络上的打印设备。它使得用户能够无需手动配置即可使用网络打印机。最近披露的漏洞涉及CUPS的几个关键组件，具体如下：

漏洞描述

近日，奇安信CERT监测到官方修复cups-browsed 远程代码执行漏洞(CVE-2024-47176)，该漏洞是由于cups-browsed服务在处理网络打印任务时，会绑定到UDP端口631的INADDR_ANY地址，从而信任来自任何来源的数据包。这会导致未经身份验证的远程攻击者可以利用该漏洞发送特制的数据包，触发恶意请求到攻击者控制的URL，从而在目标系统上执行任意命令。利用此漏洞需要启用cups-browsed服务（Ubuntu Desktop环境下默认启用），且需要受害者主动使用该恶意IPP服务器配置的打印机设备进行打印操作。目前该漏洞技术细节和POC已公开，鉴于该漏洞影响范围较大，建议客户尽快做好自查及防护。

02 影响范围

影响版本

CVE-2024-47176 cups-browsed <= 2.0.1

CVE-2024-47076 libcupsfilters <= 2.1b1

CVE-2024-47175 libppd <= 2.1b1

CVE-2024-47177 cups-filters <= 2.0.1

03 处置建议

修复建议

由于公开披露时间较早，目前尚无针对该漏洞的补丁。

为了在补丁发布之前缓解这些缺陷的影响，建议禁用并从易受攻击的系统中移除cups-browsed。此外，CUPS 设置为监听 UDP 端口 631，因此建议阻止所有到 UDP 端口 631 的流量。

在高可用性场景中，建议将 BrowseRemoteProtocols 指令值从默认的“dnssd cups”更改为“none”。

检测方法

检查系统是否易受攻击，验证cups-browsed的状态：

$ sudo systemctl status cups-browsed

如果结果显示“Active: inactive (dead)”，则系统不受漏洞影响。如果服务正在“运行”或“已启用”，则系统易受攻击。

04 参考资料

[1]https://www.tenable.com/blog/cve-2024-47076-cve-2024-47175-cve-2024-47176-cve-2024-47177-faq-cups-vulnerabilities

[2]https://github.com/OpenPrinting/cups-browsed/security/advisories/GHSA-rj88-6mr5-rcw8

[3]https://access.redhat.com/security/vulnerabilities/RHSB-2024-002

声明：本文来自奇安信 CERT，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。