تمامی آنچه یک مهاجم برای بهره برداری از آسیب پذیری در سیستم Common Unix Printing System (CUPS) نیاز دارد تنها یک دقیقه زمان و کمتر از 1 سنت هزینه محاسبات است.
به نظر می رسد که اجرای کد از راه دور تنها روشی نیست که مهاجمان می توانند از مجموعه مهمی از چهار آسیب پذیری در سیستم Common Unix Printing System (CUPS) استفاده کنند.
ظاهراً این آسیبپذیریها همچنین به دشمنان این امکان را میدهد تا با استفاده از هر پلتفرم ابری مدرن، حملات انکار سرویس (DDoS) قابلتوجهی را در چند ثانیه و با هزینه کمتر از ۱ سنت ترتیب دهند.
تعداد زیادی از سیستم ها در معرض خطر حملات DDoS
حدود 58000 دستگاه در معرض اینترنت در حال حاضر در برابر حمله آسیب پذیر هستند و می توان از آنها تقریبا راحت برای راه اندازی یک جریان بی پایان از کانکشن ها و درخواست ها در سیستم های هدف استفاده کرد. مهاجمی که همه 58000 میزبان آسیبپذیر را جمعآوری کرده باشد، میتواند یک درخواست کوچک به هر میزبان آسیبپذیر CUPS ارسال کرده و آنها را وادار کند که بین 1 تا 6 گیگابایت داده غیرمهم را به یک سیستم هدف هدایت کنند.
اگر چه این اعداد پهنای باند چشمگیر نیستند اما می توانند در سیستم هدف نیاز به کنترل 2.6 میلیون درخواست کانکشن های TCP و HTTP ایجاد کند.
CUPS یک پروتکل پرینت اینترنتی متن باز برای سیستم عامل های Unix-like مثل لینوکس و مک است. این قابلیت یک روش استاندارد برای مدیریت پرینترها در کامپیوترهاست.
هفته گذشته یک محقق امنیتی آسیب پذیری های CUPSی را که به مهاجم امکان اجرای دستورات مخرب از راه دور را میدهند منتشر کرد. این 4 آسیب پذیری با شماره های CVE-2024-47176 در cups-browsed، CVE-2024-47046 در کتابخانه نرم افزاری libcupsfilters، CVE-2024-47175 در کتابخانه libppd و CVE-2024-47177 در بسته cups-filters شناسایی می شوند.
این محقق امنیتی می گوید که این آسیب پذیری ها بیشتر بر روی توزیع های GNU/Linux و بعضی از BSDs، Oracle Solaris و سیستم عامل گوگل کروم و Chromium اثر می گذارد. نسخه کوچک این آسیب پذیری ها که در تنظیمات cups-browsed و همینطور کتابخانه های CUPS هرکدام وجود دارند همراه با یکدیگر به مهاجم امکان اجرای کددلخواه در سیستم هدف و به طور بالقوه دسترسی به آن را می دهد.
تنها چیزی که لازم است یک بسته واحد است
تحقیقات بر این تمرکز داشت که چگونه مهاجمان میتوانند از آسیبپذیری های مذکور برای کنترل میزبان های CUPS استفاده کنند. چیزی که مشخص شد این بود که یک عامل تهدید می تواند از آنها برای حملات DDoS نیز استفاده کند. “مشکل زمانی ایجاد می شود که یک مهاجم یک بسته دستکاری شده را ارسال می کند و آدرس یک هدف را به عنوان چاپگر برای اضافه کردن مشخص می کند. برای هر بسته ارسال شده، سرور آسیب پذیر CUPS یک درخواست IPP/HTTP بزرگتر را که تا حدی توسط مهاجم کنترل می شود و به سمت هدف مشخص شده، ارسال می کند.” همچنین تنها کاری که برای حمله به یک قربانی نیاز است ارسال یک بسته مخرب به یک سرویس آسیب پذیر CUPS متصل به اینترنت است.
یک محقق امنیتی میگوید آسیبپذیری DDoS برای یک عامل تهدید بسیار آسانتر است. او میگوید: «احتمالاً سازمان ها ممکن است حملاتی را ببینند که از این آسیب پذیری استفاده میکنند، که نه تنها برای اهداف این حملات DDoS، بلکه برای کسانی که سرورهای آسیب پذیر CUPS را اجرا میکنند نیز مشکلاتی ایجاد میکند». نکته کلیدی در اینجا اهمیت وصله کردن سیستم های قدیمی CUPS یا بکارگیری سایر تکنیک های کاهش خطر مانند حذف CUPS در صورت غیرضروری بودن آن، یا اعمال قوانین فایروال برای پورت UDP 631 و پیشگیری از دسترسی آنها به اینترنت عمومی است.
محققان در مجموع 198000 میزبان آسیب پذیر CUPS را که به اینترنت دسترسی دارند، کشف کردند. از این تعداد 34٪ یا بیش از 58000، در برابر حملات DDoS آسیب پذیر هستند. یک مهاجم می تواند این سیستم ها را وادار کند تا با استفاده از یک اسکریپت ساده برای ارسال یک بسته UDP مخرب به یک میزبان آسیب پذیر CUPS، شروع به انتشار ترافیک حمله کنند. همچنین مهاجمان میتوانند حجم ترافیک حمله را با اضافه کردن کاراکترها یا دادههای اضافی و اغلب نامربوط به مقدار قابل توجهی URL افزایش دهند.
محققین امنیتی می گویند آسیبپذیری یک میزبان CUPS در برابر حمله DDoS واقعاً به پیکربندی آن بستگی دارد.«ممکن است مدیران شبکه فایروال های اضافی برای مسدود کردن ترافیک خروجی از چاپگرها داشته باشند یا مدیران سیستم سرورهای چاپگر را سخت سازی کرده باشند».
فشار بر سخت افزار سرور
اگرچه سازمان هایی که سیستم های آسیب پذیر CUPS را اجرا می کنند، ممکن است هدف حملات DDoS نباشند، اما خود این حملات می توانند بر سخت افزار سرور فشار وارد کنند. تایید شده است که برخی از این سیستم های CUPS، دست تکانی های TLS را با وبسایت های محافظتشده HTTPS انجام میدهند، که به دلیل دست تکانی و پردازش رمزگذاری/رمزگشایی، فشار بیشتری را روی سخت افزار سرور و سربار مصرف منابع ایجاد میکند.
حملات DDoS، همچنان چالشی برای بسیاری از سازمان ها به شمار می رود. اگرچه بسیاری از سازمانها اقداماتی را برای محافظت در برابر حملات DDoS و کاهش پیامدها انجام میدهند، اما تعداد این حملات افزایشی بوده است. آمار اخیر Cloudflare نشان دهنده افزایش 20 درصدی حملات DDoS نسبت به سال گذشته است. این شرکت اعلام کرد که تنها در شش ماه اول سال جاری 8.5 میلیون حمله DDoS را کنترل نموده است. Cloudflare این روند را حداقل تا حدی به دستیابی بیشتر مهاجمان به قابلیت هایی (به دلیل افزایش ابزارهای هوش مصنوعی (GenAI) و سیستم های autopilot برای نوشتن کد حمله بهتر و سریع تر) نسبت داد که زمانی فقط در دسترس مهاجمان خاصی بود.
منبع: darkreading.com