Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Select language
English Spanish
Cerca
Sistemi UNIX a Rischio! L’Utility CUPS Espone i Sistemi ad esecuzione di Codice Arbitrario

Sistemi UNIX a Rischio! L’Utility CUPS Espone i Sistemi ad esecuzione di Codice Arbitrario

Redazione RHC : 27 Settembre 2024 15:51

Il 26 settembre 2024 sono state divulgate quattro vulnerabilità (secondo RedHat di livello
“Important” più che critiche) relative a CUPS – Common Unix Printing System, usato per la
gestione di stampanti su UNIX e Linux, scoperte e riportate da Simone “EvilSocket
Margaritelli.

Queste vulnerabilità, identificate come CVE-2024-47076, CVE-2024-47175,
CVE-2024-47176, CVE-2024-47177, permettono ad un attaccante remoto non autenticato
di eseguire codice arbitrario sui dispositivi vulnerabili, sfruttando componenti come
libcupsfilters, libppd, cups-browsed e foomatic-rip.

CUPS: Cos’è e come Funziona

CUPS, un sistema di stampa basato su IPP (Internet Printing Protocol), consente la
gestione di stampanti locali e remote. Rispetto ai recenti findings, i suoi meccanismi di
gestione delle richieste IPP e dei file PPD espongono vulnerabilità che, se sfruttate,
permettono agli attaccanti di manipolare le stampanti e inviare comandi prendendo il
controllo dei servers.




Scarica Gratuitamente Byte The Silence, il fumetto sul Cyberbullismo di Red Hot Cyber

"Il cyberbullismo è una delle minacce più insidiose e silenziose che colpiscono i nostri ragazzi. Non si tratta di semplici "bravate online", ma di veri e propri atti di violenza digitale, capaci di lasciare ferite profonde e spesso irreversibili nell’animo delle vittime. 
Non possiamo più permetterci di chiudere gli occhi". Così si apre la prefazione del fumetto di Massimiliano Brolli, fondatore di Red Hot Cyber, un’opera che affronta con sensibilità e realismo uno dei temi più urgenti della nostra epoca.
 Distribuito gratuitamente, questo fumetto nasce con l'obiettivo di sensibilizzare e informare. È uno strumento pensato per scuole, insegnanti, genitori e vittime, ma anche per chi, per qualsiasi ragione, si è ritrovato nel ruolo del bullo, affinché possa comprendere, riflettere e cambiare. 
Con la speranza che venga letto, condiviso e discusso, Red Hot Cyber è orgogliosa di offrire un contributo concreto per costruire una cultura digitale più consapevole, empatica e sicura. Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]


Supporta Red Hot Cyber attraverso: 

  1. L'acquisto del fumetto sul Cybersecurity Awareness
  2. Ascoltando i nostri Podcast
  3. Seguendo RHC su WhatsApp
  4. Seguendo RHC su Telegram
  5. Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber

Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Le vulnerabilità scoperte sono le seguenti:

  • CVE-2024-47176: Il componente cups-browsed accetta pacchetti IPP da qualsiasi sorgente, consentendo di inviare richieste Get-Printer-Attributes con URL controllati dall’attaccante. RedHat ha assegnato CVSSv3 score pari a 7.5.
  • CVE-2024-47076: In libcupsfilters, la funzione cfGetPrinterAttributes5 non valida i dati IPP, permettendo l’inserimento di attributi malevoli. RedHat ha assegnato CVSSv3 score pari a 8.2.
  • CVE-2024-47175: In libppd, la funzione ppdCreatePPDFromIPP2 scrive attributi IPP non validati in file temporanei, consentendo l’iniezione di codice. RedHat ha assegnato CVSSv3 score pari a 7.7.
  • CVE-2024-47177: Il filtro foomatic-rip permette l’esecuzione arbitraria di comandi tramite il parametro FoomaticRIPCommandLine in file PPD. RedHat ha assegnato CVSSv3 score pari a 6.1.

Attacco ed Impatti

Queste vulnerabilità, unite, permettono a un attaccante di inviare pacchetti IPP malevoli, modificando gli URL delle stampanti con collegamenti controllati. Una volta avviata la stampa, l’attaccante può eseguire codice arbitrario sul sistema target. Dato che CUPS è abilitato per impostazione predefinita e ascolta sulla porta UDP 631, molti sistemi potrebbero essere esposti se questa porta è accessibile pubblicamente.

Secondo una rapida ricerca condotta da Tenable su Shodan, ci sono circa 75.000 host pubblicamente esposti su internet, aumentando il rischio di exploit su larga scala. Questo rende le vulnerabilità un problema grave, anche se non viene considerata al livello di altre minacce storiche come Log4Shell.

Mitigazione

In attesa di patch ufficiali, è possibile mitigare i rischi seguendo alcune best practice:

  1. Disabilitare o rimuovere cups-browsed: Riducendo così significativamente la superficie di attacco.
  2. Bloccare il traffico sulla porta UDP 631: Limitare l’accesso a questa porta impedendo l’esposizione su internet.
  3. Applicare patch appena possibile: Red Hat e altri vendor stanno lavorando a patch che risolveranno queste vulnerabilità; è essenziale aggiornare i sistemi appena disponibili.

Per verificare se il servizio cups-browsed è attivo (dato che, ad esempio, il servizio non è presente di default su RedHat), si può eseguire il seguente comando tramite CLI:

< sudo systemctl status cups-browsed >

Conclusioni

Le vulnerabilità che affliggono CUPS rappresentano una minaccia significativa per i sistemi Linux e UNIX, soprattutto se esposti pubblicamente. Sebbene al momento non ci siano exploit attivi conosciuti, la disponibilità di dettagli tecnici e PoC (Proof of Concept) suggerisce fortemente che emergere presto exploit. Risulta quindi fondamentale che si adottino immediatamente misure preventive per proteggere i vari ambienti.

Per eventuali approfondimenti, postiamo il link al blog-post di EvilSocket del writeup delle vulnerabilità:

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli

Articoli in evidenza

Gli hacker etici italiani primi sul podio all’European Cybersecurity Challenge 2025
Di Redazione RHC - 09/10/2025

Dal 6 al 9 ottobre 2025, Varsavia è stata teatro della 11ª edizione della European Cybersecurity Challenge (ECSC). In un confronto serrato tra 39 team provenienti da Stati membri UE, Paesi EFTA, can...

1000 POS di negozi USA e UK violati e messi all’asta: “accesso totale” a 55.000 dollari
Di Redazione RHC - 09/10/2025

Un nuovo annuncio pubblicato su un forum underground è stato rilevato poco fa dai ricercatori del laboratorio di intelligence sulle minacce di Dark Lab e mostra chiaramente quanto sia ancora attivo e...

Allenza tra gruppi ransomware: LockBit, DragonForce e Qilin uniscono le forze
Di Redazione RHC - 09/10/2025

Tre importanti gruppi di ransomware – DragonForce, Qilin e LockBit – hanno annunciato un’alleanza. Si tratta essenzialmente di un tentativo di coordinare le attività di diversi importanti opera...

Arriva Google CodeMender! Quando l’AI, trova il bug nel codice e lo ripara da sola
Di Redazione RHC - 07/10/2025

Sarebbe fantastico avere un agente AI capace di analizzare automaticamente il codice dei nostri progetti, individuare i bug di sicurezza, generare la correzione e pubblicarla subito in produzione. Epp...

L’ascesa dei Partner Digitali: l’AI diventa il rifugio per i wiresexual perché sicura, comoda e controllabile
Di Redazione RHC - 07/10/2025

La disillusione nei confronti degli incontri online spinge sempre più le donne a cercare intimità emotiva nel mondo virtuale. Sempre più donne si rivolgono all’intelligenza artificiale, ovvero ai...