Crítica vulnerabilidad en Linux: Bug en CUPS podría permitir el secuestro remoto de dispositivos

Published:

Recientemente se ha revelado una grave vulnerabilidad en el sistema de impresión CUPS, que afecta a la mayoría de las distribuciones Linux y a otros sistemas como BSD, ChromeOS y Solaris. Esta vulnerabilidad podría permitir a atacantes remotos tomar control de dispositivos conectados en red o incluso a través de Internet, si se cumplen ciertas condiciones.

¿En qué consiste la vulnerabilidad?

El bug fue descubierto y reportado por el desarrollador de software Simone Margaritelli, quien tras días de frustración por la gestión de sus reportes, decidió hacer pública la información sobre la vulnerabilidad. Según Margaritelli, el problema radica en el servicio cups-browsed, el cual, si está habilitado, podría ser aprovechado por atacantes para comprometer un dispositivo mediante la ejecución remota de código malicioso.

El ataque requiere que el usuario inicie una tarea de impresión, lo que significa que no se trata de una amenaza completamente automatizada; es necesaria la interacción del usuario.

Cómo funciona el ataque

La cadena de vulnerabilidades implica cuatro fallos documentados por Margaritelli:

  1. CVE-2024-47176 en cups-browsed hasta la versión 2.0.1: este escucha en el puerto UDP 631 y confía en cualquier paquete recibido, lo que permite al atacante enviar una solicitud maliciosa.
  2. CVE-2024-47076 en libcupsfilters hasta la versión 2.1b1: no valida correctamente los atributos devueltos por la solicitud IPP maliciosa, permitiendo la entrada de datos peligrosos al sistema.
  3. CVE-2024-47175 en libppd: también omite la validación de los atributos IPP, lo que permite escribir datos peligrosos en un archivo temporal PPD.
  4. CVE-2024-47177 en cups-filters hasta la versión 2.0.1: ejecuta comandos arbitrarios provenientes de esos archivos temporales cuando se inicia un trabajo de impresión.

La explotación completa se realiza en varias fases: el atacante envía un paquete al puerto 631, hace que el sistema vulnerable se conecte a un servidor controlado por él, y luego introduce un payload malicioso que se ejecuta cuando se inicia un trabajo de impresión.

¿Quiénes están en riesgo?

Según Margaritelli, la vulnerabilidad afecta a un gran número de dispositivos que ejecutan CUPS, especialmente aquellos que tienen expuesto el puerto UDP 631 al público. Aunque la mayoría de los usuarios no debería tener este puerto accesible desde internet, aún existe el riesgo de ataques dentro de redes locales o mediante la suplantación de anuncios mDNS o DNS-SD.

Se estima que hay cientos de miles de dispositivos vulnerables en todo el mundo, y la amenaza es especialmente relevante para oficinas y entornos laborales donde los sistemas de impresión están en uso constante.

Medidas de mitigación

Hasta el momento, no hay parches disponibles, pero se pueden tomar algunas medidas de mitigación para reducir el riesgo:

  • Deshabilitar o eliminar el servicio cups-browsed.
  • Bloquear el acceso al puerto UDP 631, tanto en redes locales como hacia internet.
  • Actualizar CUPS en cuanto se publiquen los parches de seguridad correspondientes.
  • Si no utilizas impresoras, considera desinstalar CUPS para eliminar el riesgo completamente.

Impacto y respuesta

A pesar de que se habló de una vulnerabilidad con una gravedad de 9.9 en la escala CVSS (cercana al nivel de «día del juicio final»), Margaritelli cree que el impacto no es tan alto debido a que se requiere la interacción del usuario. Aún así, la amenaza sigue siendo considerable, ya que los ciberdelincuentes podrían aprovechar esta vulnerabilidad para comprometer redes vulnerables.

Además de las fallas técnicas, Margaritelli también ha criticado el proceso de reporte de errores, alegando que la información fue filtrada en foros de ciberdelincuencia antes de su divulgación oficial, lo que aceleró la publicación de los detalles.

Conclusión

Aunque esta vulnerabilidad en CUPS no representa una amenaza totalmente automatizada, sigue siendo un riesgo importante para los usuarios de Linux y otros sistemas que dependen de este servicio. Si bien no existen parches por el momento, las medidas de mitigación pueden ayudar a reducir significativamente el riesgo hasta que se publiquen las actualizaciones de seguridad. Si utilizas CUPS, es fundamental revisar tu configuración y aplicar los pasos recomendados para proteger tu sistema.

Mantente atento a las actualizaciones de seguridad y protege tus dispositivos.

- Advertisement -
Jorge
Jorgehttps://nksistemas.com
Soy Jorge, Sr Sysadmin Linux/DevOps/SRE y creador de NKSistemas.com Trabajo con plataformas: Linux, Windows, AWS, GCP, VMware, Helm, kubernetes, Docker, etc.

Related articles