Origine : bjCSIRT

Numéro : 2024/ALERTE/061

Date de l’alerte : 28/09/2024

APERÇU :

Plusieurs vulnérabilités critiques ont été découvertes dans le composant OpenPrinting (CUPS) des systèmes Linux / Unix .

DESCRIPTION :

OpenPrinting CUPS est un système d’impression open source pour Linux et autres systèmes d’exploitation de type UNIX. CUPS utilise le protocole IPP (Internet Printing Protocol) pour permettre l’impression avec des imprimantes. 

Plusieurs vulnérabilités ont été découvertes dans le système OpenPrinting (CUPS), qui permettraient à une personne malveillante d’exécuter du code à distance en exploitant des failles dans les bibliothèques libcupsfilters, libppd, cups-browsed et cups-filters. 

Ces vulnérabilités sont libellées comme suit : 

• CVE-2024-47076 : cette vulnérabilité permettrait à un acteur malveillant d’injecter des données malveillantes dans le système CUPS en exploitant une mauvaise validation d’entrée dans la fonction cfGetPrinterAttributes5 de la bibliothèque libcupsfilters. Cette vulnérabilité est classée Elevée avec un score de sévérité de 8.6 selon le CVSS 3.1. 

• CVE-2024-47175 : cette vulnérabilité permettrait à un acteur malveillant d’exécuter des commandes arbitraires en exploitant une mauvaise validation d’entrée dans la fonction ppdCreatePPDFFromIPP2 de la bibliothèque libppd. Cette vulnérabilité est classée Elevée avec un score de sévérité de 8.6 selon le CVSS 3.1. 

• CVE-2024-47176 : Lorsque le service cups-browsed est activé et en écoute sur le port UDP 631, un acteur malveillant pourrait exécuter des commandes arbitraires de manière non authentifié en envoyant des paquets spécialement conçus pour rediriger les demandes d’informations d’une imprimante vers un serveur sous son contrôle. Cette vulnérabilité est classée Elevée avec un score de sévérité de 8.3 selon le CVSS 3.1. 

• CVE-2024-47177 : cette vulnérabilité permettrait à un acteur malveillant d’injecter des commandes à travers un fichier PPD grâce au paramètre FoomaticRIPCommandLine. Cette vulnérabilité est classée Elevée avec un score de sévérité de 9.0 selon le CVSS 3.1

IMPACT :

• Atteinte à la confidentialité et à l’intégrité des données ; 

• Exécution de code à distance ; 

• Compromission de l’intégrité du système ; 

• Compromission de la sécurité du réseau et des données ; 

• Modification des configurations des imprimantes. 

SYSTÈMES AFFECTÉS : 

• Toutes les versions de CUPS utilisant les bibliothèques libcupsfilters, libppd, cups-browsed et cups-filters. 

MESURES À PRENDRE : 

• Consultez les bulletins de sécurité de votre distribution Linux pour appliquer les correctifs disponibles ; 

• Si l’impression n’est pas nécessaire, désactivez le service cups-browsed avec les commandes suivantes : 

• • sudo systemctl stop cups-browsed 

• • sudo systemctl disable cups-browsed 

RÉFÉRENCES :

• https://www.evilsocket.net/2024/09/26/Attacking-UNIX-systems-via-CUPS-Part-I/ 

• https://www.redhat.com/en/blog/red-hat-response-openprinting-cups-vulnerabilities 

• https://ubuntu.com/blog/cups-remote-code-execution-vulnerability-fix-available 

• https://github.com/OpenPrinting/cups-browsed/security/advisories/GHSA-rj88-6mr5-rcw8 

• https://www.tenable.com/blog/cve-2024-47076-cve-2024-47175-cve-2024-47176-cve-2024-47177-faq-cups-vulnerabilities 

• https://nvd.nist.gov/vuln/detail/CVE-2024-47076 

• https://nvd.nist.gov/vuln/detail/CVE-2024-47175 

• https://nvd.nist.gov/vuln/detail/CVE-2024-47176 

• https://nvd.nist.gov/vuln/detail/CVE-2024-47177 

• https://www.tenable.com/cve/CVE-2024-47177 

• https://www.tenable.com/cve/CVE-2024-47176