最近在一个广泛使用的打印服务器中发现了一个新漏洞，该打印服务器默认安装在许多基于 Linux 和 Unix 的图形用户界面系统中。 该漏洞的主要攻击载体是 CUPS（通用单元打印系统）打印调度程序，特别是 cups-browsed，它有可能在零用户交互要求的情况下远程执行代码。

据报道，RHEL 和 Canonical 给该漏洞打出了 9.9 分的 CVSS 分值，但这一分值引起了激烈的争论，有人认为它的分值应该更低，因为虽然代码可以远程下载到系统中，但在没有用户干预的情况下无法执行。 幸运的是，尽管披露信息在计划于 10 月份私下披露之前已在网上泄露，但没有证据表明该漏洞已被利用，这促使发现该漏洞的开发人员在其博客上发布了完整的解释。 在这种情况下，恶意行为者很可能开始利用该漏洞。

根据研究人员 Simone Margaritelli 的长篇博文，与 CUPS 打印系统相关的服务很容易被远程代码执行。 从本质上讲，攻击系统会让打印调度程序相信它是一台打印机，并发送伪装成打印机配置文件的恶意软件（可能是任意可执行代码）。 这个过程不需要用户干预，因为 CUPS 会接受通过端口 *:631 发送的任何数据包。

简报：

• CVE-2024-47176 | cups-browsed <= 2.0.1 在 UDP INADDR_ANY:631 上绑定，信任来自任何来源的任何数据包，以触发指向攻击者控制的 URL 的 Get-Printer-Attributes IPP 请求。

• CVE-2024-47076 | libcupsfilters <= 2.1b1 cfGetPrinterAttributes5 未验证或消毒从 IPP 服务器返回的 IPP 属性，从而向 CUPS 系统的其他部分提供了攻击者控制的数据。

• CVE-2024-47175 | libppd <= 2.1b1 ppdCreatePPDFromIPP2 在将 IPP 属性写入临时 PPD 文件时未验证或消毒 IPP 属性，从而允许在生成的 PPD 中注入攻击者控制的数据。

• CVE-2024-47177 | cup-filters <=2.0.1 foomatic-rip 允许通过 FoomaticRIPCommandLine PPD 参数执行任意命令。

特定的漏洞利用依赖于大量未修补的漏洞，其中一些漏洞已有十多年的历史，因此对于使用基于 Linux 或 Unix 的系统的用户来说，这是一个特别令人担忧的问题。 要使这一攻击向量发挥作用，系统需要安装并运行 CUPS（通用 Unix 打印系统）和 cups-browsed，而这是许多系统的默认设置。 根据 Margaritelli 的说法，目前有 20 万至 30 万个系统连接到互联网并提供打印服务，但 Shodan 报告（见上面的截图）称，大约有 7.6 万个系统打开了 CUPS 端口并连接到互联网。

虽然研究人员声称大多数 GNU/Linux 发行版以及潜在的 ChromeOS 和 macOS 都受到了影响，但应该注意的是，这并不是许多 Linux 发行版的默认配置，尤其不应该是任何大型服务器或数据中心的配置，这意味着最大的目标群体将是运行 Linux 的私人 PC 用户。