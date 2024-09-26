Protezione

Fysa – difetto critico RCE nei sistemi GNU-Linux

Due donne che lavorano e parlano davanti a un computer

È stato pubblicato il primo di una serie di post sul blog che descrivono in dettaglio una vulnerabilità nel Common Unix Printing System (CUPS), che presumibilmente consente agli aggressori di ottenere l'accesso remoto ai sistemi basati su Unix. La vulnerabilità, che colpisce diversi sistemi operativi basati su UNIX, può essere sfruttata inviando una richiesta HTTP appositamente creata al servizio CUPS.

Topografia delle minacce

  • Tipo di minaccia: vulnerabilità di esecuzione di codice remoto nel servizio CUPS
  • Settori colpiti: sistemi basati su UNIX in vari settori, tra cui, ma non solo, finanza, sanità e governo
  • Portata geografica: globale, con potenziale impatto sui sistemi basati su UNIX in tutto il mondo
  • Impatto ambientale: alta gravità, poiché permette agli aggressori di ottenere accesso remoto ed eseguire codice arbitrario su sistemi vulnerabili

Panoramica

X-Force Incident Command sta monitorando quello che afferma essere il primo di una serie di post sul blog della ricercatrice di sicurezza Simone Margaritelli, che descrive una vulnerabilità nel Common Unix Printing System (CUPS), che presumibilmente può essere sfruttata inviando una richiesta HTTP appositamente progettata al servizio CUPS. La vulnerabilità riguarda diversi sistemi operativi basati su UNIX, tra cui, ma non solo, Linux e macOS. La vulnerabilità può essere sfruttata per ottenere l'accesso remoto ai sistemi interessati, consentendo agli aggressori di eseguire codice arbitrario e potenzialmente ottenere privilegi elevati. X-Force sta indagando sulla divulgazione e sul monitoraggio per scopi di sfruttamento. Continueremo a monitorare questa situazione e a fornire aggiornamenti quando saranno disponibili.

Risultati principali

  • La vulnerabilità riguarda diversi sistemi operativi basati su UNIX, tra cui, ma non solo, Linux e macOS.
  • Tutte le versioni di Red Hat Enterprise Linux (RHEL) sono interessate, ma non sono vulnerabili nelle loro configurazioni predefinite.
  • La vulnerabilità può essere sfruttata inviando una richiesta HTTP appositamente creata al servizio CUPS
  • La vulnerabilità consente agli aggressori di ottenere l'accesso remoto ai sistemi interessati e di eseguire codice arbitrario.
  • La vulnerabilità è stata identificata come di alta gravità, con potenziale di impatto significativo sulle organizzazioni interessate

Mitigazioni/Raccomandazioni

  • Disabilita il servizio CUPS o limita l'accesso all'interfaccia web CUPS
  • Nel caso in cui il tuo sistema non possa essere aggiornato e tu faccia affidamento su questo servizio, blocca tutto il traffico sulla porta UDP 631 e possibilmente tutto il traffico DNS-SD (non si applica a zeroconf)
  • Implementare misure di sicurezza aggiuntive, come la segmentazione della rete e i controlli di accesso, per limitare la diffusione della vulnerabilità.
  • Effettuare valutazioni approfondite delle vulnerabilità e test di penetrazione per identificare e correggere eventuali altre potenziali vulnerabilità
  • Implementare piani robusti di risposta agli incidenti e di disaster recovery per mitigare l'impatto di una potenziale violazione

Designazioni CVE

  • CVE-2024-47176 (riservato)
  • CVE-2024-47076 (riservato)
  • CVE-2024-47175 (riservato)
  • CVE-2024-47177 (riservato)