Serangkaian kerentanan keamanan baru telah terungkap di OpenPrinting Common Unix Printing System (CUPS) pada sistem Linux yang memungkinkan eksekusi perintah jarak jauh dalam kondisi tertentu.
“Penyerang jarak jauh yang tidak diautentikasi dapat secara diam-diam mengganti url IPP printer yang ada (atau menginstal yang baru) dengan yang berbahaya, sehingga mengakibatkan eksekusi perintah sewenang-wenang (di komputer) ketika pekerjaan pencetakan dimulai (dari komputer itu),” peneliti keamanan Simone kata Margaritelli.
CUPS adalah sistem pencetakan sumber terbuka berbasis standar untuk Linux dan sistem operasi mirip Unix lainnya, termasuk ArchLinux, Debian, Fedora, Red Hat Enterprise Linux (RHEL), ChromeOS, FreeBSD, NetBSD, OpenBSD, openSUSE, dan SUSE Linux .
Daftar kerentanannya adalah sebagai berikut –
Konsekuensi bersih dari kekurangan ini adalah bahwa kelemahan tersebut dapat dibentuk menjadi rantai eksploitasi yang memungkinkan penyerang membuat perangkat pencetakan palsu dan berbahaya pada sistem Linux yang terekspos jaringan yang menjalankan CUPS dan memicu eksekusi kode jarak jauh saat mengirimkan pekerjaan pencetakan.
“Masalah ini muncul karena penanganan yang tidak tepat terhadap pengumuman 'Printer Baru Tersedia' di komponen 'cups-browsed', ditambah dengan validasi yang buruk oleh 'cups' terhadap informasi yang diberikan oleh sumber pencetakan berbahaya,” kata perusahaan keamanan jaringan Ontinue.
“Kerentanan berasal dari validasi data jaringan yang tidak memadai, yang memungkinkan penyerang membuat sistem yang rentan menginstal driver printer berbahaya, dan kemudian mengirimkan pekerjaan pencetakan ke driver tersebut yang memicu eksekusi kode berbahaya. Kode berbahaya tersebut dieksekusi dengan hak istimewa dari pengguna lp – bukan pengguna super 'root'.”
RHEL, dalam sebuah nasihat, mengatakan semua versi sistem operasi dipengaruhi oleh empat kelemahan tersebut, namun mencatat bahwa mereka tidak rentan dalam konfigurasi defaultnya. Laporan ini menandai masalah-masalah tersebut sebagai masalah yang penting karena tingkat keparahannya, mengingat dampaknya di dunia nyata mungkin rendah.
“Dengan menyatukan kelompok kerentanan ini, penyerang berpotensi melakukan eksekusi kode jarak jauh yang kemudian dapat menyebabkan pencurian data sensitif dan/atau kerusakan pada sistem produksi penting,” katanya.
Perusahaan keamanan siber Rapid7 menunjukkan bahwa sistem yang terkena dampak dapat dieksploitasi, baik dari internet publik atau di seluruh segmen jaringan, hanya jika port UDP 631 dapat diakses dan layanan yang rentan dapat mendengarkannya.
Palo Alto Networks telah mengungkapkan bahwa tidak satu pun produk dan layanan cloudnya mengandung paket perangkat lunak terkait CUPS yang disebutkan di atas, dan oleh karena itu tidak terpengaruh oleh kelemahan tersebut.
Patch untuk kerentanan tersebut saat ini sedang dikembangkan dan diharapkan akan dirilis dalam beberapa hari mendatang. Sampai saat itu tiba, disarankan untuk menonaktifkan dan menghapus layanan penjelajahan cangkir jika tidak diperlukan, dan memblokir atau membatasi lalu lintas ke port UDP 631.
“Sepertinya kerentanan RCE Linux yang tidak autentik yang diembargo dan disebut-sebut sebagai hari kiamat bagi sistem Linux, mungkin hanya memengaruhi sebagian sistem,” Benjamin Harris, CEO WatchTowr, mengatakan dalam sebuah pernyataan yang dibagikan kepada The Hacker News.
“Mengingat hal ini, meskipun kerentanan dalam hal dampak teknis sangat serius, kecil kemungkinannya mesin desktop/workstation yang menjalankan CUPS terekspos ke Internet dengan cara atau jumlah yang sama seperti edisi server Linux pada umumnya.”
Satnam Narang, staf senior riset insinyur di Tenable, mengatakan kerentanan ini tidak berada pada level Log4Shell atau Heartbleed.
“Kenyataannya adalah di berbagai perangkat lunak, baik open source maupun close source, terdapat banyak sekali kerentanan yang belum ditemukan dan diungkapkan,” kata Narang. “Penelitian keamanan sangat penting untuk proses ini dan kita dapat dan harus menuntut vendor perangkat lunak yang lebih baik.”
“Bagi organisasi yang berupaya mengatasi kerentanan terbaru ini, penting untuk digarisbawahi bahwa kelemahan yang paling berdampak dan memprihatinkan adalah kerentanan yang diketahui dan terus dieksploitasi oleh kelompok ancaman tingkat lanjut yang memiliki hubungan dengan negara, serta afiliasi ransomware. yang mencuri jutaan dolar dari perusahaan setiap tahunnya.”