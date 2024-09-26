Sicherheit

Fysa – kritischer RCE-Fehler in GNU-Linux-Systemen

Der erste einer Reihe von Blogbeiträgen wurde veröffentlicht, der eine Schwachstelle im Common Unix Printing System (CUPS) beschreibt, die angeblich Angreifern den Remote-Zugriff auf UNIX-basierte Systeme ermöglicht. Die Sicherheitslücke, die verschiedene UNIX-basierte Betriebssysteme betrifft, kann ausgenutzt werden, indem eine speziell gestaltete HTTP-Anfrage an den CUPS-Service gesendet wird.

Topographie der Bedrohungen

  • Bedrohungstyp: Schwachstelle bei der Remote-Codeausführung im CUPS-Dienst
  • Betroffene Branchen: UNIX-basierte Systeme in verschiedenen Branchen, darunter unter anderem Finanzwesen, Gesundheitswesen und Regierung.
  • Geolokalisierung: Global, mit möglichen Auswirkungen auf UNIX-basierte Systeme weltweit
  • Auswirkung auf die Umgebung: Hoher Schweregrad, der es Angreifern ermöglicht, Remote-Zugriff zu erlangen und beliebigen Code auf verwundbaren Systemen auszuführen

Überblick

Das X-Force Incident Command überwacht den angeblich ersten Blogbeitrag einer Reihe von Artikeln des Sicherheitsforschers Simone Margaritelli., in dem eine Schwachstelle im Common Unix Printing System (CUPS) detailliert beschrieben wird, die angeblich durch das Senden einer speziell präparierten HTTP-Anfrage an den CUPS-Dienst ausgenutzt werden kann. Die Sicherheitslücke betrifft verschiedene UNIX-basierte Betriebssysteme, einschließlich, aber nicht beschränkt auf, Linux und macOS. Die Sicherheitslücke kann ausgenutzt werden, um Remote-Zugriff auf betroffene Systeme zu erhalten, sodass Angreifer beliebigen Code ausführen und möglicherweise erhöhte Rechte erlangen können. X-Force untersucht die Offenlegung und überwacht die Ausbeutung. Wir werden diese Situation weiterhin beobachten und Updates geben, sobald verfügbar.

Wichtige Erkenntnisse

  • Die Sicherheitslücke betrifft verschiedene UNIX-basierte Betriebssysteme, einschließlich, aber nicht beschränkt auf, Linux und macOS.
  • Alle Versionen von Red Hat Enterprise Linux (RHEL) sind betroffen, aber in ihren Standardkonfigurationen nicht anfällig.
  • Die Sicherheitslücke kann ausgenutzt werden, indem eine speziell präparierte HTTP-Anfrage an den CUPS-Dienst gesendet wird.
  • Die Sicherheitslücke erlaubt es Angreifern, Remote-Zugriff auf betroffene Systeme zu erlangen und beliebigen Code auszuführen.
  • Die Sicherheitslücke wurde als hoher Schweregrad mit Potenzial für erhebliche Auswirkungen auf die betroffenen Unternehmen eingestuft

Abmilderungen/Empfehlungen

  • Deaktivieren Sie den CUPS-Dienst oder schränken Sie den Zugriff auf die CUPS-Weboberfläche ein.
  • Falls Ihr System nicht aktualisiert werden kann und Sie sich auf diesen Dienst verlassen, blockieren Sie den gesamten Verkehr zum UDP-Port 631 und möglicherweise den gesamten DNS-SD-Verkehr (gilt nicht für zeroconf)
  • Implementieren Sie zusätzliche Sicherheitsmaßnahmen, wie Netzwerksegmentierung und Zugriffskontrollen, um die Ausbreitung der Sicherheitslücke zu begrenzen
  • Führen Sie gründliche Bewertungen und Penetrationsprüfungen durch, um weitere potenzielle Schwachstellen zu identifizieren und zu beheben.
  • Implementieren Sie robuste Notfallreaktion und Notfallwiederherstellung-Pläne, um die Auswirkungen eines potenziellen Sicherheitsvorfalls zu minimieren

CVE-Bezeichnungen

  • CVE-2024-47176 (Reserviert)
  • CVE-2024-47076 (Reserviert)
  • CVE-2024-47175 (Reserviert)
  • CVE-2024-47177 (Reserviert)