Découverte de plusieurs vulnérabilités dans OpenPrinting CUPS
De multiples vulnérabilités ont été découvertes dans OpenPrinting CUPS et dans le composant cups-browsed. Celui-ci permet notamment de découvrir automatiquement des imprimantes partagées sur le réseau. Ces vulnérabilités ont été publiées le 28 septembre 2024 par Elastic Security Labs en des règles de détection au format propriétaire de l'éditeur. Des vulnérabilités qui seront confirmées par les analyses du CERT-FR pour la détection des attaques connues.
Au total, quatre vulnérabilités ont été identifiées. Elles permettent :
- de récupérer des informations sur le système d'information de la victime
- d'ajouter automatiquement sur le système une nouvelle imprimante, voire de remplacer une imprimante existante
- d'exécuter du code arbitraire à distance, lorsque l'utilisateur lance une tâche d'impression sur l'imprimante ajoutée précédemment
RISQUES DE SÉCURITÉ
- Atteinte à la confidentialité des données
- Contournement de la politique de sécurité
- Exécution de code arbitraire à distance
SYSTÈMES AFFECTÉS
- OpenPrinting cups-browsed toutes versions
- OpenPrinting cups-filter toutes versions
- OpenPrinting libcupsfilters toutes versions
- OpenPrinting libppd toutes versions
MESURES À PRENDRE
- désactiver le service cups-browsed si celui-ci est installé. Les commandes suivantes permettent par exemple d'arrêter puis de désactiver le service pour les systèmes utilisant systemd : sudo systemctl stop cups-browsed
- sudo systemctl disable cups-browsed
- si la désactivation du service n'est pas envisageable, il est possible de modifier le fichier de configuration de cups-browsed, généralement situé dans /etc/cups/cups-browsed.conf en remplaçant la ligne BrowseRemoteProtocols dnssd cups par BrowseRemoteProtocols none
- limiter l'accès au port 631 sur UDP et plus généralement de mettre en place des mécanismes de filtrage réseau utilisant des listes d'autorisation
- En l'état des connaissances actuelles, si le service cups-browsed est inaccessible, l'attaquant ne peut pas ajouter une imprimante malveillante à l'insu de l'utilisateur, ce qui bloque la chaîne d'exploitation
Source : CERT.FR