Keamanan

Fysa – celah penting RCE dalam sistem GNU-Linux

Artikel pertama dari rangkaian posting blog telah diterbitkan yang merinci sebuah kerentanan pada Common Unix Printing System (CUPS), yang diklaim dapat memungkinkan penyerang memperoleh akses jarak jauh ke sistem berbasis UNIX. Kerentanan, yang memengaruhi berbagai sistem operasi berbasis Unix, dapat dieksploitasi dengan mengirimkan permintaan HTTP yang dibuat khusus ke layanan CUPS.

Topografi Ancaman

  • Jenis Ancaman: Kerentanan eksekusi kode jarak jauh dalam layanan CUPS
  • Industri yang Terdampak: Sistem berbasis UNIX di berbagai sektor, termasuk namun tidak terbatas pada keuangan, kesehatan, dan pemerintahan
  • Geolokasi: Global, dengan potensi dampak pada sistem berbasis Unix di seluruh dunia
  • Dampak Lingkungan: Tingkat keparahan tinggi, memungkinkan penyerang mendapatkan akses jarak jauh dan mengeksekusi kode arbitrer pada sistem yang rentan

Buletin industri

Ringkasan

X-Force Incident Command memantau apa yang diklaim sebagai yang pertama dalam serangkaian postingan blog dari peneliti keamanan, Simone Margaritelli, merinci kerentanan dalam Common Unix Printing System (CUPS), yang konon dapat dieksploitasi dengan mengirimkan permintaan HTTP yang dibuat khusus ke layanan CUPS. Kerentanan memengaruhi berbagai sistem operasi berbasis Unix, termasuk tetapi tidak terbatas pada, Linux dan macOS. Celah ini memungkinkan pihak tidak berwenang mendapatkan akses jarak jauh ke sistem yang terkena, membuka peluang bagi penyerang untuk menjalankan kode arbitrer dan mungkin meningkatkan hak akses mereka. X-Force sedang menyelidiki pengungkapan dan pemantauan untuk eksploitasi. Kami akan terus memantau situasi ini dan memberikan pembaruan yang tersedia.

Temuan Utama

  • Kerentanan memengaruhi berbagai sistem operasi berbasis Unix, termasuk tetapi tidak terbatas pada, Linux dan macOS
  • Semua versi Red Hat Enterprise Linux (RHEL) terpengaruh, tetapi tidak rentan dalam konfigurasi defaultnya.
  • Kerentanan dapat dieksploitasi dengan mengirimkan permintaan HTTP yang dibuat khusus ke layanan CUPS
  • Kerentanan ini memungkinkan penyerang mendapatkan akses jarak jauh ke sistem yang terpengaruh dan mengeksekusi kode arbitrer
  • Kerentanan telah diidentifikasi sebagai tingkat keparahan tinggi, dengan potensi dampak yang signifikan pada organisasi yang terkena dampak

Mitigasi/Rekomendasi

  • Nonaktifkan layanan CUPS atau batasi akses ke antarmuka web CUPS
  • Jika sistem Anda tidak dapat diperbarui dan Anda mengandalkan layanan ini, blokir semua lalu lintas ke port UDP 631 dan mungkin semua lalu lintas DNS-SD (tidak berlaku untuk zeroconf)
  • Menerapkan langkah-langkah keamanan tambahan, seperti segmentasi jaringan dan kontrol akses, untuk membatasi penyebaran kerentanan
  • Melakukan penilaian kerentanan menyeluruh dan pengujian penetrasi untuk mengidentifikasi dan memperbaiki potensi kerentanan lainnya
  • Menerapkan respon insiden yang kuat dan rencana pemulihan bencana untuk mengurangi dampak dari potensi pelanggaran

Penunjukan CVE

  • CVE-2024-47176 (Dicadangkan)
  • CVE-2024-47076 (Dicadangkan)
  • CVE-2024-47175 (Dicadangkan)
  • CVE-2024-47177 (Dicadangkan)