По мнению исследователей из Akamai, которые ранее на этой неделе опубликовали доказательства того, что они также могут позволить разрушительную распределенную атаку типа «отказ в обслуживании» (DDoS).
CVE-2024-47176, CVE-2024-47076, CVE-2024-47175 и CVE-2024-47177 в совокупности затрагивают более 76 000 устройств, а возможно, и больше. Их обнаружила и раскрыла в конце сентября исследовательница Симона Маргарителли, также известная как evilsocket.
Они позволяют использовать Cups, который позволяет обычному компьютеру выступать в качестве сервера печати, в качестве вектора для RCE, если злоумышленник сможет успешно добавить «призрачный» принтер с вредоносным URL-адресом протокола Интернет-печати (IPP) к уязвимому устройство и запустите на нем задание печати.
Но, по словам исследователей Akamai Ларри Кэшдоллара, Кайла Лефтона и Чада Симана, при рассмотрении раскрытия Маргарителли они заметили возможность использования Cups для запуска DDoS-атак, которые, хотя и менее серьезны, чем RCE, все же вызывают значительные нарушения и легко используются в злонамеренных целях. .
Трио исследователей утверждает, что особое беспокойство в этом случае вызывает то, что для запуска DDoS-атаки через Cups потребуются ограниченные ресурсы: задача по кооптации каждого уязвимого открытого сервиса Cups может занять считанные секунды, и если злоумышленник имеет доступ к современной платформе гиперскейлера может стоить менее одного цента США. Более того, чтобы начать атаку, атакующей системе достаточно отправить всего один пакет уязвимому сервису Cups.
«Проблема возникает, когда злоумышленник отправляет созданный пакет, в котором указан адрес цели в качестве принтера, который нужно добавить», — написали они в технической статье, объясняющей риск DDoS.
«Для каждого отправленного пакета уязвимый сервер Cups будет генерировать более крупный и частично контролируемый злоумышленником запрос IPP/HTTP, направленный на указанную цель. В результате жертвой становится не только цель, но и хост сервера Cups, поскольку атака потребляет пропускную способность его сети и ресурсы ЦП».
Они считают, что на самом деле в мире может существовать более 198 000 устройств, доступных в Интернете и уязвимых для этого вектора атаки, и около 58 000 из них могут быть использованы для DDoS-атак.
Они добавили, что, поскольку на многих из этих устройств используются более старые версии Cups (некоторые из них относятся к версии 1.3, вышедшей в 2007 году), у злоумышленников есть прекрасная возможность воспользоваться устаревшим оборудованием для усиления своих DDoS-атак.
Если предположить, что все более 58 000 идентифицированных хостов были использованы в одной кампании, они могут вызвать поток вредоносного трафика объемом до 6 ГБ, что ни в коем случае не является особенно крупной DDoS-атакой по современным стандартам, но все же может быть проблематичным.
Возможно, еще более тревожно то, что тестирование команды Akamai также обнаружило, что некоторые из активных серверов Cups неоднократно отправляли ответные сигналы после получения первоначального запроса, а некоторые, по-видимому, делали это бесконечно после получения ответов HTTP/404. Они сказали, что это продемонстрировало, что потенциальное усиление этой проблемы было довольно большим и способным вызвать серьезные проблемы.
«Низкоквалифицированные оппортунистические злоумышленники иногда обнаруживают новые векторы DDoS-атак и зачастую быстро ими злоупотребляют. Эта уязвимость в CUPS и большое количество устройств, которые могут быть использованы таким образом, заставляют нас полагать, что вполне вероятно, что защитники могут столкнуться с атаками на основе CUPS», — сказали они.
«Пока усилия по обмену сообщениями и очистке не наберут обороты, чтобы уменьшить количество устройств, уязвимых и доступных в Интернете, мы подозреваем, что этот вектор будет подвергаться злоупотреблениям в дикой природе».
Генеральный директор APIContext Маюр Упадхьяя прокомментировал: «Уязвимость CUPS сродни обнаружению скрытого усилителя в, казалось бы, обычной акустической системе. Крошечный стук может превратить шепот в оглушительный рев, заглушающий все вокруг. Аналогичным образом, эта уязвимость усиливает даже небольшие сигналы, позволяя злоумышленникам высвободить поток трафика, затопляя целевые системы».