吳明宜安全研究人員發現,最近揭露的開放原始碼列印系統 Unix Common Unix Printing System (CUPS) 漏洞可被濫用以發動可放大 600 倍的分散式阻斷服務 (distributed denial of service, DDoS) 攻擊。
CVE-2024-47176 出現在 OpenPrinting CUPS 中的 cups-browsed 元件(CUPS 精靈),CVSS 風險值 7.5 。該元件作用是發現網路上的印表機,並將之加入系統中。 Akamai 安全研究人員發現漏洞 CVE-2024-47176 可能被駭客串聯其他三個遠端程式碼執行 (remote code execution, RCE) 漏洞,藉由發送 UDP 封包造成 Unix 系統的 DDoS 攻擊。
三個 RCE 漏洞包括 CVE-2024-47076 、 CVE-2024-47175 和 CVE-2024-47177,分別位於 CUPS 的不同元件。
攻擊手法很簡單,只要向曝露在公開網路上的 CUPS 伺服器發送改造過的封包,讓它以為目標是一部要加入的印表機,配合三個 RCE 漏洞,數秒鐘內就能控制 CUPS 伺服器,對攻擊者指定 IP 位址的機器發送呼叫。每個送向 CUPS 伺服器的封包都會促使它產生大型 IPP(Internet Printing Protocol)/HTTP 呼叫送回給目標機器,形成 DDoS,同時影響 CUPS 伺服器和目標機器,耗損其頻寬和 CPU 資源。
研究人員估計,曝露在網路上的 CUPS 伺服器有 19.8 萬台,其中有 5.8 萬台可被收編成殭屍網路,作為 DDoS 攻擊的跳板。最嚴重者,其中數百台發生了 HTTP/404 錯誤而產生無限迴圈,直到網管人員砍了或重啟精靈程式。研究人員指出,網路上許多 CUPS 伺服器的版本已經過期,最早甚至有 2007 年的版本。
研究人員建議管理員及早安裝各發行版(Red Hat 、 Ubuntu 、 SUSE 等)最新版本軟體,以修補 CVE-2024-47176,或是關閉 cups-browsed 服務以杜絕伺服器被綁架的攻擊風險。