[MàJ] Vulnérabilités affectant OpenPrinting CUPS

Risques

Atteinte à la confidentialité des données
Contournement de la politique de sécurité
Exécution de code arbitraire à distance

Systèmes affectés

OpenPrinting cups-browsed toutes versions
OpenPrinting cups-filter toutes versions
OpenPrinting libcupsfilters toutes versions
OpenPrinting libppd toutes versions

Résumé

[Mise à jour du 10 octobre 2024]

Le 28 septembre 2024, Elastic Security Labs a publié des règles de détection au format propriétaire de l'éditeur (cf. section Documentation), qui sont confirmées par les analyses du CERT-FR pour la détection des attaques connues.

[Publication initiale]

De multiples vulnérabilités ont été découvertes dans OpenPrinting CUPS et dans le composant cups-browsed. Celui-ci permet notamment de découvrir automatiquement des imprimantes partagées sur le réseau.

Au total, quatre vulnérabilités ont été identifiées. Elles permettent :

de récupérer des informations sur le système d'information de la victime;
d'ajouter automatiquement sur le système une nouvelle imprimante, voire de remplacer une imprimante existante;
d'exécuter du code arbitraire à distance, lorsque l'utilisateur lance une tâche d'impression sur l'imprimante ajoutée précédemment.

Le CERT-FR a connaissance de codes d'exploitation publics mais pas encore de cas d'exploitation active.

Solutions

[Mise à jour du 01 octobre 2024]

Des correctifs sont disponibles pour certaines distributions. (cf. section Documentation)

Mesures de contournement

[Mise à jour du 01 octobre 2024]

Pour les distributions n'ayant pas de correctif disponible, le CERT-FR recommande :

de désactiver le service cups-browsed si celui-ci est installé. Les commandes suivantes permettent par exemple d'arrêter puis de désactiver le service pour les systèmes utilisant systemd :
```
sudo systemctl stop cups-browsed
sudo systemctl disable cups-browsed 
```
si la désactivation du service n'est pas envisageable, il est possible de modifier le fichier de configuration de cups-browsed, généralement situé dans /etc/cups/cups-browsed.conf en remplaçant la ligne BrowseRemoteProtocols dnssd cups par BrowseRemoteProtocols none;
de limiter l'accès au port 631 sur UDP et plus généralement de mettre en place des mécanismes de filtrage réseau utilisant des listes d'autorisation.

En l'état des connaissances actuelles, si le service cups-browsed est inaccessible, l'attaquant ne peut pas ajouter une imprimante malveillante à l'insu de l'utilisateur, ce qui bloque la chaîne d'exploitation.

Documentation

Base de connaissance SUSE 000021571

https://www.suse.com/support/kb/doc/?id=000021571

Billet de blogue Elastic Security Labs du 28 septembre 2024

https://www.elastic.co/security-labs/cups-overflow

Bulletin de sécurité Debian DLA-3905-1

https://security-tracker.debian.org/tracker/DLA-3905-1

Bulletin de sécurité Debian DSA-5778-1

https://security-tracker.debian.org/tracker/DSA-5778-1

Bulletin de sécurité RedHat RHSB-2024-002

https://access.redhat.com/security/vulnerabilities/RHSB-2024-002

Bulletin de sécurité Ubuntu USN-7042-1

https://ubuntu.com/security/notices/USN-7042-1

Bulletin de sécurité Ubuntu USN-7043-1

https://ubuntu.com/security/notices/USN-7043-1

Référence CVE CVE-2024-47076

https://www.cve.org/CVERecord?id=CVE-2024-47076

Référence CVE CVE-2024-47175

https://www.cve.org/CVERecord?id=CVE-2024-47175

Référence CVE CVE-2024-47176

https://www.cve.org/CVERecord?id=CVE-2024-47176

Référence CVE CVE-2024-47177

https://www.cve.org/CVERecord?id=CVE-2024-47177

Référence	CERTFR-2024-ALE-012
Titre	[MàJ] Vulnérabilités affectant OpenPrinting CUPS
Date de la première version	27 septembre 2024
Date de la dernière version	01 octobre 2024
Source(s)
Pièce(s) jointe(s)	Aucune(s)

Bulletin d'alerte du CERT-FR

Objet: [MàJ] Vulnérabilités affectant OpenPrinting CUPS