سلسلة مكتشفة حديثًا مكونة من أربعة عيوب خطيرة في نظام الطباعة يونكس المشترك (Cups)، والذي يتم استخدامه في جميع توزيعات GNU/Linux تقريبًا بما في ذلك Debian وRed Hat وSUSE، بالإضافة إلى Apple macOS وGoogle Chrome/Chromium من بين أشياء أخرى، يتسبب في دق أجراس الإنذار لمحترفي الأمن بشأن النطاق المحتمل للأمن. المشكلة.
تم الكشف عن نقاط الضعف الأربعة من قبل الباحث سيمون مارجريتيلي، المعروف أيضًا باسم evilsocket، الذي نشر كتابته الأولية وتقييمه بعد نشر تفاصيل محدودة عبر GitHub فيما يبدو أنه كان تسربًا قبل الكشف المنسق – وهو أمر تفهمه مجلة Computer Weekly أنه لم يكن من المفترض أن يحدث حتى الأحد 6 أكتوبر.
في كتابته، قال مارجريتيلي إنه بعد محاولته اتباع عملية الكشف المسؤولة، وجد نفسه يقاتل ضد المطورين الرافضين الذين لم يرغبوا في أخذ المشكلة على محمل الجد.
يتم تعقب الثغرات الأمنية تحت أسماء CVE-2024-47176 وCVE-2024-47076 وCVE-2024-47175 وCVE-2024-47177، ويُعتقد أن أكثر من 76000 جهاز، منها 42000 منها تقبل الاتصالات المتاحة للعامة، بشكل جماعي. قد يكون في خطر. وفي منشور مارجريتيلي، أشار إلى أن هذا الرقم قد يكون أعلى بكثير، مع احتمال تأثر ما بين 200 ألف و300 ألف جهاز. وحث المستخدمين على تعطيل خدمات Cups وإزالتها إذا لم يكونوا بحاجة إليها.
الكؤوس يعمل بشكل فعال كنظام طباعة قياسي لأنظمة التشغيل المشابهة لـ Unix والذي يتيح لأجهزة الكمبيوتر بشكل أساسي العمل كخوادم طباعة، حيث يعمل الجهاز الذي يقوم بتشغيل Cups كمضيف يقبل مهام الطباعة من العملاء، ويعالجها ويعينها للطابعة. يتم تمكينه افتراضيًا في بعض الحالات – ولكن ليس في حالات أخرى – ويتم استخدامه على نطاق واسع في البرية.
وعندما يتم ربط نقاط الضعف ببعضها البعض، فإنها تمكن المهاجم غير المصادق من تحقيق ذلك تنفيذ التعليمات البرمجية عن بعد (RCE) ضد الأنظمة الضعيفة إذا كان بإمكانهم إضافة طابعة “خفية” مع عنوان URL ضار لبروتوكول الطباعة عبر الإنترنت (IPP) إلى جهاز كمبيوتر ثم بدء مهمة الطباعة عليه. ومع ذلك، فهو لا يسمح للمهاجم ببدء مهمة طباعة على الخادم الضحية من تلقاء نفسه – أي أنه إذا لم تحصل الأجهزة على مهام طباعة، فلا يمكن تشغيل الهجوم.
سعيد عباسي مدير الإنتاج بشركة وحدة أبحاث التهديدات Qualysوقال: “تمكن نقاط الضعف هذه المهاجم غير المصادق عليه عن بعد من استبدال عناوين URL الخاصة بـ IPP للطابعات الحالية بعناوين ضارة بصمت. وبالتالي، يمكن أن يحدث تنفيذ أوامر عشوائية على الكمبيوتر المتأثر عند بدء مهمة طباعة. يمكن للمهاجم إرسال حزمة UDP مصممة خصيصًا إلى المنفذ 631 عبر الإنترنت العام، واستغلال الثغرات الأمنية دون أي مصادقة.
“نظرًا لاستخدام أنظمة GNU/Linux على نطاق واسع في خوادم المؤسسات والبنية التحتية السحابية والتطبيقات المهمة، فإن الثغرة الأمنية لها سطح هجوم واسع ومن المحتمل أن تؤثر على عدد كبير من الخوادم وأجهزة الكمبيوتر المكتبية والأجهزة المدمجة في جميع أنحاء العالم.
“لا يحتاج المهاجمون إلى بيانات اعتماد صالحة لاستغلال الثغرة الأمنية. تسمح الثغرة الأمنية للمهاجمين بتنفيذ تعليمات برمجية عشوائية، مما قد يسمح لهم بالتحكم الكامل في الأنظمة المتأثرة. وقال عباسي: “لقد حصل على درجة CVSS تبلغ 9.9، مما يشير إلى أن الثغرة الأمنية حرجة”.
“يجب على المؤسسات تقييم مخاطر التعرض لأنظمة الكؤوس. تقييد الوصول إلى الشبكة، وإلغاء تنشيط الخدمات غير الأساسية، وتنفيذ ضوابط وصول صارمة. استعد للتصحيح السريع بمجرد توفر التصحيح، واختبر التصحيحات بدقة لمنع انقطاع الخدمة.
مقارنات مع Log4j؟
حقيقة أن سلسلة الثغرات الأمنية تحمل مثل هذه الدرجة العالية من CVSS قد تشير إلى أنه سيكون من السهل نسبيًا استغلالها، ووفقًا لبريان فوكس، عضو مجلس إدارة شركة مؤسسة الأمن مفتوح المصدر (OSSF) وCTO سوناتايب، إجراء مقارنات مع Log4Shell – ثغرة أمنية في مكتبة تسجيل Java Apache Log4j2 تم اكتشافه في عام 2021 والذي لا يزال يمثل مشكلة – قد يكون مناسبًا.
قال فوكس: “الاستغلال الناجح يمكن أن يكون مدمرًا – كل شيء بدءًا من جهاز توجيه Wi-Fi الخاص بك إلى الشبكة التي تحافظ على تشغيل الأضواء يعمل على Linux”. “هذا المزيج من التعقيد المنخفض والاستخدام العالي يذكرنا بـ Log4Shell، على الرغم من أن حجم الاستخدام هنا أكثر أهمية بكثير.
“أنا أتفهم المنطق وراء التخلص التدريجي من الكشف، لأن هذه الثغرة الأمنية ستستغرق وقتًا للعثور عليها وإصلاحها، ومع ذلك، يجب أن نتوقع أيضًا أن تقوم الجهات الفاعلة في مجال التهديد بفحص سجل الالتزام والبحث عن أدلة لاستغلالها.
وأضاف فوكس: “بينما ننتظر ظهور المزيد من التفاصيل، يجب على فرق أمان المؤسسة فحص بيئاتها ووحدات SBOM لفهم الأماكن التي قد تكون معرضة للخطر والاستعداد للتصحيح. ألغي إجازاتك.. قد يكون الأمر بمثابة سباق ضد المهاجمين».
فريق البحث في JFrogومع ذلك، فقد اتخذوا وجهة نظر معارضة وأحجموا عن وصف ثغرات Cups بأنها حدث على غرار Log4Shell، قائلين إنهم يعتقدون أن متطلبات الاستغلال ليست شائعة في الواقع.
“على الرغم من أنه لم يتم نشر أي إصدارات ثابتة سواء في المشاريع الأولية أو أي توزيعات Linux، إلا أن المتأثرين يمكنهم التخفيف من هذه الثغرات الأمنية دون الترقية عن طريق تعطيل وإزالة خدمة تصفح Cups، وحظر كل حركة المرور إلى منفذ UDP 63 وجميع حركة مرور DNS-SD قال شاشار ميناشي، المدير الأول لأبحاث JFrog Security.
