Unix通用打印系统cups-browsed远程代码执行漏洞分析

宣布时间 2024-12-13

一、漏洞描述


2024年9月,宁静研究员Simone Margaritelli披露了Unix通用打印系统CUPS(Common UNIX Printing System)存在一系列宁静漏洞,利用多个漏洞组合可在受影响的系统上执行远程命令。抖圈为赌而生ADLab研究人员对该漏洞的原理进行深入分析,同时提出修复建议和缓解措施。


表1.png


二、相关介绍


CUPS是一个开源的打印系统,用于Linux和其他类UNIX操作系统。CUPS 提供 Web界面和Berkeley命令行界面等多种方式来管理打印机和打印任务。例如访问http://localhost:631可管理打印机。


图1.png


CUPS主要使用Internet Printing Protocol(IPP)来实现当地和网络打印机的打印功效。IPP是一个在互联网上打印的尺度网络协议,它容许用户可以通过互联网作远距离打印及管理打印事情等。IPP接纳的超文本传输协议HTTP的POST要领在客户端和打印服务器之间进行会话。


图2.png


cups-browsed是一个开源的打印服务组件,它是Common UNIX Printing System(CUPS)的一部门。cups-browsed卖力在当地网络上自动发现和添加打印机,使用mDNS(多播DNS)或DNS-SD(DNS服务发现)协议来侦测网络上的打印设备。它使得用户能够无需手动配置即可使用网络打印机。


三、原理分析


该漏洞源于cups-browsed服务,该服务绑定在UDP INADDR_ANY:631端口上,接受任何ip发送过来数据。同时该服务适配大多数UNIX系统,且大多数设备默认开启该服务。


该服务的功效是发现互联网上的打印机,然后将打印机添加到系统服务上,相关功效的实现代码在cups-browsed.c文件中。代码中创建一个名为BrowseSocket的套接字,然后绑定在631端口。


图3.png


当检查到系统支持BrowseRemoteProtocols时,创建一个 UNIX 套接字通道,并设置监视该通道上的输入事件。一旦有数据可读,将调用process_browse_data函数来处置这些数据。


图4.png


BrowseRemoteProtocols参数可通过/etc/cups/cups-browsed.conf文件进行配置,此处一般默认开启。


图5.png


process_browse_data是要害的数据处置函数,该函数调用recvfrom从BrowseSocket套接字读取数据包packet。数据包格式遵从HEX_NUMBER HEX_NUMBER TEXT_DATA,使用该格式的数据的原因时是法式在处置packet时使用了下面的函数对数据进行处置。


sscanf (packet, "%x%x%1023s",&type, &state, uri)


接收到数据包后会调用allowed函数对ip进行合理性检查,该检查规则可通过/etc/cups/cups-browsed.conf文件进行配置。


图6.png


allowed检查通过后会将数据包传入found_cups_printer函数进行进一步处置。


found_cups_printer函数中调用httpSeparateURI函数解析传入的uri参数并将其拆分为协议、用户名、主机名、端口、资源路径等部门。然后凭据解析得到的各部门信息,对uri是否即是”/printers/”和”/calsses/”字符串进行检查。检查通过后调用examine_discovered_printer_record函数来处置发现的打印机记录。


图7.png


处置完数据后调用cfGetPrinterAttributes函数进行回连,其中先使用httpConnect函数先建立http连接,然后调用ippNewRequest建立IPP连接,最后向IPP Server发送获取打印机属性的请求。


图8.png


发送完请求后cups-browsed法式会调用ppdCreatePPDFromIPP2函数创建PPD文件然后将接收的打印机属性依次生存到文件里面。


图9.png


至此,已经可以乐成设置PPD的属性,接下来就是想措施执行写入的数据。这需要使用CUPS的一个过滤器指令cupsFilter2,该指令用于处置打印作业中的筛选和转换操作。

例如下面的指令要求cups将切合打印机属性的postscript格式的数据通报给program过滤器进行处置,优先级为0。


*cupsFilter2:"application/pdf application/vnd.cups-postscript 0 program


CUPS规定只能使用/usr/lib/cups/filter路径下面的可执行文件,最终以foomatic-rip过滤器作为利用的目标。该过滤器接受PPD文件中的FoomaticRIPCommandLine指令,通过它可以执行任意命令。


四、漏洞修复

截至目前,Ubuntu,Debian,Fedora等多个系统中涉及漏洞的多个版本已基本修复。


图10.png


在Ubuntu最新版的修复方案中完全删除对旧版 CUPS 协议和 LDAP 的支持。


图11.png


五、缓解措施


漏洞修复版本已经上传,Ubuntu系统中运行下面两条命令即可进行升级。


sudo apt update

sudo apt upgrade


如果上面的升级不乐成,使用下面两种措施缓解该漏洞:


(1)直接禁用cups-browsed服务

sudo systemctl stop cups-browsed

sudo systemctl disable cups-browsed


(2)如果该功效需要使用,建议将/etc/cups/cups-browsed.conf中BrowseRemoteProtocols指令值从默认的“dnssd cups”更改为“none”。


参考链接:


[1]https://www.evilsocket.net/2024/09/26/Attacking-UNIX-systems-via-CUPS-Part-I/

[2]https://gist.github.com/stong/c8847ef27910ae344a7b5408d9840ee1

[3]https://censys.com/common-unix-printing-service-vulnerabilities/

[4]https://blog.ostorlab.co/cups-vulnerabilities.html

[5]https://github.com/OpenPrinting/cups-browsed/security/advisories/GHSA-rj88-6mr5-rcw8

[6]https://ubuntu.com/security/notices/USN-7043-4

[7]https://ubuntu.com/security/notices/USN-7042-3

[8]https://launchpad.net/ubuntu/+source/cups-browsed/2.0.1-0ubuntu2.1

[9]https://www.upwind.io/feed/analyzing-the-latest-cups-rce-vulnerability-threats-and-mitigations


抖圈为赌而生积极防御实验室(ADLab)


ADLab建立于1999年,是中国宁静行业最早建立的攻防技术研究实验室之一,微软MAPP计划核心成员,“黑雀攻击”看法首推者。截至目前,ADLab已通过 CNVD/CNNVD/NVDB/CVE累计宣布宁静漏洞5000余个,连续保持国际网络宁静领域一流水准。实验室研究偏向涵盖基础宁静研究、数据宁静研究、5G宁静研究、人工智能宁静研究、移动宁静研究、物联网宁静研究、车联网宁静研究、工控宁静研究、信创宁静研究、云宁静研究、无线宁静研究、高级威胁研究、攻防体系建设。研究结果应用于产物核心技术研究、国家重点科技项目攻关、专业宁静服务等。


adlab.jpg