Un nuevo escáner automatizado ha sido desarrollado para detectar dispositivos Linux y UNIX vulnerables a la ejecución remota de código (RCE) a través del Sistema de impresión común de Unix (CUPS), específicamente a la vulnerabilidad CVE-2024-47176. Esta falla fue descubierta y revelada recientemente por Simone Margaritelli y permite a los atacantes realizar RCE bajo ciertas condiciones.
Aunque la explotación RCE en entornos reales parece limitada, investigaciones de Akamai demostraron que CVE-2024-47176 también puede ser utilizada para lanzar ataques distribuidos de denegación de servicio (DDoS) con una amplificación de 600x. Esto significa que un atacante puede aprovechar esta vulnerabilidad para inundar un servidor con tráfico malicioso, causando interrupciones significativas.
El escáner automatizado
El investigador de ciberseguridad Marcus Hitchins, conocido también como «MalwareTech», desarrolló el escáner con el objetivo de asistir a los administradores de sistemas en la identificación rápida de dispositivos que ejecutan el servicio CUPS-Browsed vulnerables. El servicio CUPS-Browsed, parte del sistema CUPS, es responsable de la detección y administración de impresoras en la red.
Cómo opera la vulnerabilidad
La vulnerabilidad se deriva del hecho de que cups-browsed vincula su puerto de control (puerto UDP 631) a INADDR_ANY, lo que lo expone a toda la red. Como las solicitudes al puerto no están autenticadas, cualquier sistema dentro del alcance puede enviar comandos al servicio CUPS. En entornos donde el puerto no está expuesto a Internet por razones de seguridad (como firewalls o NAT), puede seguir siendo accesible en la red local, lo que podría permitir la escalada de privilegios o el movimiento lateral en un entorno comprometido.
Funcionamiento del escáner
El script «cups_scanner.py» fue desarrollado en Python y funciona al enviar paquetes UDP personalizados a través de la red, específicamente al puerto 631, para buscar instancias de CUPS-Browsed que respondan a estas solicitudes. Si un dispositivo vulnerable recibe uno de estos paquetes, responderá con una devolución de llamada HTTP, permitiendo a los administradores identificar qué dispositivos en su red están en riesgo. El escáner ayuda así a mitigar posibles amenazas, al alertar sobre los puntos vulnerables en las infraestructuras de red.
Consecuencias para las empresas
Empresas que dependen de servidores Linux y UNIX para sus operaciones deben tomar medidas urgentes para parchear los dispositivos afectados. Si bien la explotación de la vulnerabilidad para RCE puede estar restringida, el riesgo de amplificación en ataques DDoS y las implicaciones para la seguridad interna de las redes justifican una respuesta proactiva.
En resumen, la aparición de herramientas de escaneo como esta es crucial para la detección y mitigación temprana de vulnerabilidades como CVE-2024-47176, ofreciendo a las organizaciones una forma eficiente de proteger sus sistemas contra ataques potencialmente devastadores.
