Vào ngày 23/9/2024, Nhà nghiên cứu bảo mật Simone Margaritelli công bố báo cáo tiết lộ lỗ hổng thực thi lệnh từ xa chưa được xác thực ảnh hưởng đến tất cả các hệ thống GNU/Linux. Lỗ hổng được đánh giá là nghiêm trọng và có điểm CVSS là 9,9.

Margaritelli cho biết: “Kẻ tấn công từ xa không được xác thực có thể bí mật thay thế các URL IPP của máy in hiện có (hoặc cài đặt máy in mới) bằng một URL độc hại, dẫn đến việc thực thi lệnh tùy ý (trên máy tính) khi bắt đầu công việc in (từ máy tính đó)”.

Được biết, CUPS là hệ thống in mã nguồn mở dành cho Linux và các hệ điều hành Unix khác, bao gồm ArchLinux, Debian, Fedora, Red Hat Enterprise Linux (RHEL), ChromeOS, FreeBSD, NetBSD, OpenBSD, openSUSE và SUSE Linux. Các lỗ hổng được gắn mã định danh như sau: CVE-2024-47176, CVE-2024-47076, CVE-2024-47175 và CVE-2024-47177.

Hậu quả tất yếu của những lỗ hổng này là chúng có thể bị những kẻ tấn công lạm dụng thành một chuỗi khai thác, cho phép chúng tạo ra một thiết bị in giả độc hại trên hệ thống Linux chạy CUPS thông qua mạng và thực thi lệnh từ xa khi gửi lệnh in.

Công ty bảo mật mạng Ontinue (Mỹ) chia sẻ: “Các lỗ hổng xuất phát từ việc xác thực dữ liệu mạng không đầy đủ, cho phép kẻ tấn công cài đặt trình điều khiển máy in độc hại vào hệ thống dễ bị tấn công, sau đó gửi lệnh in đến trình điều khiển đó để kích hoạt thực thi mã độc hại. Sau đó mã độc được thực thi với quyền của người dùng lp, không phải root”.

Red Hat cho biết tất cả các phiên bản của hệ điều hành đều bị ảnh hưởng bởi bốn lỗ hổng trên, nhưng lưu ý rằng chúng không dễ bị tấn công trong cấu hình mặc định. “Bằng cách liên kết nhóm lỗ hổng này lại với nhau, kẻ tấn công có khả năng thực thi mã từ xa, từ đó có thể dẫn đến đánh cắp dữ liệu nhạy cảm”, Red Hat nhấn mạnh.

Công ty an ninh mạng Rapid7 (Mỹ) chỉ ra rằng các hệ thống bị ảnh hưởng có thể bị khai thác từ mạng Internet công cộng hoặc trên các phân đoạn mạng, chỉ khi cổng UDP 631 có thể truy cập được và dịch vụ dễ bị tấn công đang mở.

Hãng bảo mật Palo Alto Networks (Mỹ) tiết lộ không có sản phẩm và dịch vụ đám mây nào của họ chứa các gói phần mềm liên quan đến CUPS đã đề cập ở trên và do đó không bị ảnh hưởng bởi các lỗ hổng này.

Các bản vá cho các lỗ hổng hiện đang được phát triển và dự kiến ​​sẽ được phát hành trong những thời gian tới. Cho đến lúc đó, người dùng nên tắt và xóa dịch vụ cups-browsed nếu không cần thiết và chặn hoặc hạn chế lưu lượng truy cập đến cổng UDP 631.

Satnam Narang, nhà nghiên cứu bảo mật tại hãng bảo mật Tenable (Mỹ), đánh giá những lỗ hổng này không ở mức độ như Log4Shell hay Heartbleed. “Thực tế là trong nhiều phần mềm, dù là mã nguồn mở hay đóng, vẫn tồn tại vô số lỗ hổng chưa được phát hiện và tiết lộ”, Narang cho biết.