سلسلة من أربع نقاط الضعف في نظام الطباعة يونكس المشترك، أو الكؤوس، التي تؤدي إلى تنفيذ التعليمات البرمجية عن بعد (RCE)، يبدو أنها تحتوي على لدغة سيئة في ذيلها، وفقًا للباحثين في Akamai، الذين نشروا في وقت سابق من هذا الأسبوع دليلاً على أنها يمكن أن تمكن أيضًا من تمكين عملية معيقة الحرمان من الخدمة الموزعة هجوم (DDoS).
تؤثر CVE-2024-47176 وCVE-2024-47076 وCVE-2024-47175 وCVE-2024-47177 بشكل جماعي على أكثر من 76000 جهاز وربما أكثر من ذلك بكثير. تم اكتشافها والكشف عنها في نهاية سبتمبر للباحث سيموني مارجريتيلي، ويعرف أيضًا باسم evilsocket.
إنها تتيح إمكانية استغلال Cups، الموجودة للسماح لجهاز كمبيوتر عادي بالعمل كخادم طباعة، كمتجه لـ RCE إذا تمكن المهاجم من إضافة طابعة “خفية” بنجاح باستخدام عنوان URL ضار لبروتوكول الطباعة عبر الإنترنت (IPP) إلى نقطة ضعف الجهاز وابدأ مهمة الطباعة عليه.
ولكن وفقًا للباحثين في Akamai Larry Cashdollar وKyle Lefton وChad Seaman، عند مراجعة كشف Margaritelli، اكتشفوا إمكانية استغلال Cups لشن هجمات DDoS والتي، على الرغم من أنها أقل خطورة من RCE، إلا أنها لا تزال تسبب اضطرابًا كبيرًا ويمكن إساءة استخدامها بسهولة لأغراض خبيثة. .
يزعم الباحثون الثلاثة أن ما يثير القلق بشكل خاص في هذه الحالة هو أن الأمر سيستغرق موارد محدودة لشن هجوم DDoS عبر Cups – قد تستغرق مهمة اختيار كل خدمة Cups المكشوفة الضعيفة مجرد ثوانٍ، وإذا كان لدى جهة التهديد حق الوصول إلى منصة Hyperscaler الحديثة، يمكن أن تكلف أقل من سنت أمريكي واحد. علاوة على ذلك، لبدء الهجوم، يحتاج نظام الهجوم فقط إلى إرسال حزمة واحدة إلى خدمة Cups الضعيفة.
وكتبوا: “تنشأ المشكلة عندما يرسل المهاجم حزمة معدّة تحدد عنوان الهدف كطابعة ليتم إضافتها”. في مقالة فنية تشرح مخاطر DDoS.
“بالنسبة لكل حزمة يتم إرسالها، سيقوم خادم Cups الضعيف بإنشاء طلب IPP/HTTP أكبر ويتحكم فيه المهاجم جزئيًا وموجه إلى الهدف المحدد. ونتيجة لذلك، لا يتأثر الهدف فحسب، بل يصبح مضيف خادم Cups أيضًا ضحية، حيث يستهلك الهجوم النطاق الترددي للشبكة وموارد وحدة المعالجة المركزية الخاصة به.
ويعتقدون أنه قد يكون هناك بالفعل أكثر من 198000 جهاز يمكن الوصول إليها عبر الإنترنت وتكون عرضة لناقل الهجوم هذا، ويمكن استخدام حوالي 58000 منها لهجمات DDoS.
وأضافوا أنه نظرًا لأن العديد من هذه الأجهزة تعمل بإصدارات قديمة من Cups – يعود بعضها إلى الإصدار 1.3، الذي انخفض في عام 2007 – فإن الجهات الفاعلة في مجال التهديد لديها فرصة ذهبية للاستفادة من الأجهزة القديمة لتضخيم هجمات DDoS الخاصة بهم.
بافتراض أنه تم استخدام جميع المضيفين الذين تم تحديدهم والذين يزيد عددهم عن 58000 في نفس الحملة، فقد يتسببون في حدوث طوفان يصل إلى 6 جيجابايت من حركة المرور الضارة، وهو ليس بأي حال من الأحوال هجوم DDoS كبيرًا بشكل خاص وفقًا للمعايير الحديثة، ولكنه قد يظل يمثل مشكلة.
ولعل الأمر الأكثر إثارة للقلق هو أن اختبار فريق Akamai وجد أيضًا أن بعض خوادم Cups النشطة عادت للإشارة بشكل متكرر بعد تلقي الطلب الأولي، ويبدو أن بعضها يفعل ذلك بشكل لا نهائي بعد تلقي استجابات HTTP/404. وقالوا إن هذا يوضح أن التضخيم المحتمل للمشكلة كان كبيرًا إلى حد ما وقادرًا على التسبب في مشكلات كبيرة.
“يتم أحيانًا العثور على نواقل هجوم DDoS الجديدة، وغالبًا ما يتم إساءة استخدامها بسرعة، من قبل مهاجمين انتهازيين ذوي مهارات منخفضة. وقالوا إن هذه الثغرة الأمنية في CUPS والعدد الكبير من الأجهزة التي يمكن إساءة استخدامها بهذه الطريقة تقودنا إلى الاعتقاد بأنه من المحتمل أن يواجه المدافعون هجمات تعتمد على CUPS.
“إلى أن تنجح جهود المراسلة والتنظيف في تقليل عدد الأجهزة المعرضة للخطر والمكشوفة على الإنترنت، فإننا نشك في أن هذا الناقل سيشهد إساءة استخدام على نطاق واسع.”
APIContext وعلق الرئيس التنفيذي Mayur Upadhyaya قائلاً: “إن ثغرة CUPS تشبه اكتشاف مكبر صوت مخفي في نظام سماعات عادي على ما يبدو. يمكن لنقرة صغيرة أن تحول الهمس إلى هدير يصم الآذان، ويطغى على المناطق المحيطة. وبالمثل، يؤدي هذا الخلل إلى تضخيم حتى الإشارات الصغيرة، مما يسمح للمهاجمين بإطلاق العنان لسيل من حركة المرور، مما يؤدي إلى إغراق الأنظمة المستهدفة.
