S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 27 septembre 2024
N° CERTFR-2024-ALE-012
Affaire suivie par: CERT-FR

Bulletin d'alerte du CERT-FR

Objet: Vulnérabilités affectant OpenPrinting CUPS

Gestion du document

Référence CERTFR-2024-ALE-012
Titre Vulnérabilités affectant OpenPrinting CUPS
Date de la première version 27 septembre 2024
Date de la dernière version 27 septembre 2024
Source(s)
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

  • Atteinte à la confidentialité des données
  • Contournement de la politique de sécurité
  • Exécution de code arbitraire à distance

Systèmes affectés

  • OpenPrinting cups-browsed toutes versions
  • OpenPrinting cups-filter toutes versions
  • OpenPrinting libcupsfilters toutes versions
  • OpenPrinting libppd toutes versions

Résumé

De multiples vulnérabilités ont été découvertes dans OpenPrinting CUPS et dans le composant cups-browsed. Celui-ci permet notamment de découvrir automatiquement des imprimantes partagées sur le réseau.

Au total, quatre vulnérabilités ont été identifiées. Elles permettent :

  • de récupérer des informations sur le système d'information de la victime;
  • d'ajouter automatiquement sur le système une nouvelle imprimante, voire de remplacer une imprimante existante;
  • d'exécuter du code arbitraire à distance, lorsque l'utilisateur lance une tâche d'impression sur l'imprimante ajoutée précédemment.
En date du 27 septembre 2024, aucun correctif n'est disponible. Le CERT-FR a connaissance de codes d'exploitation publics mais pas encore de cas d'exploitation active.

Mesures de contournement

Dans l'attente des correctifs, le CERT-FR recommande donc :

  • de désactiver le service cups-browsed si celui-ci est installé. Les commandes suivantes permettent par exemple d'arrêter puis de désactiver le service pour les systèmes utilisant systemd : 
    sudo systemctl stop cups-browsed
sudo systemctl disable cups-browsed
  • si la désactivation du service n'est pas envisageable, il est possible de modifier le fichier de configuration de cups-browsed, généralement situé dans /etc/cups/cups-browsed.conf en remplaçant la ligne BrowseRemoteProtocols dnssd cups par BrowseRemoteProtocols none;
  • de limiter l'accès au port 631 sur UDP et plus généralement de mettre en place des mécanismes de filtrage réseau utilisant des listes d'autorisation.
En l'état des connaissances actuelles, si le service cups-browsed est inaccessible, l'attaquant ne peut pas ajouter une imprimante malveillante à l'insu de l'utilisateur, ce qui bloque la chaîne d'exploitation.

Documentation

Gestion détaillée du document

    le 27 septembre 2024
    Version initiale