Celah Kritis pada Sistem Pencetakan Linux CUPS Bisa Memungkinkan Eksekusi Perintah Jarak Jauh
Sekelompok kerentanan keamanan baru telah diungkapkan dalam OpenPrinting Common Unix Printing System (CUPS) pada sistem Linux yang dapat memungkinkan eksekusi perintah jarak jauh dalam kondisi tertentu.
“Penyerang jarak jauh yang tidak terotentikasi dapat diam-diam mengganti URL IPP printer yang ada (atau menginstal yang baru) dengan yang berbahaya, yang mengakibatkan eksekusi perintah arbitrer (pada komputer) ketika pekerjaan cetak dimulai (dari komputer tersebut),” kata peneliti keamanan Simone Margaritelli.
CUPS adalah sistem pencetakan berbasis standar dan open-source untuk Linux dan sistem operasi Unix-like lainnya, termasuk ArchLinux, Debian, Fedora, Red Hat Enterprise Linux (RHEL), ChromeOS, FreeBSD, NetBSD, OpenBSD, openSUSE, dan SUSE Linux.
Daftar kerentanan tersebut adalah sebagai berikut:
- CVE-2024-47176 – cups-browsed <= 2.0.1 mengikat pada UDP INADDR_ANY:631 mempercayai paket dari sumber mana pun untuk memicu permintaan Get-Printer-Attributes IPP ke URL yang dikendalikan oleh penyerang.
- CVE-2024-47076 – libcupsfilters <= 2.1b1 cfGetPrinterAttributes5 tidak memvalidasi atau menyaring atribut IPP yang dikembalikan dari server IPP, memberikan data yang dikendalikan oleh penyerang ke sistem CUPS.
- CVE-2024-47175 – libppd <= 2.1b1 ppdCreatePPDFromIPP2 tidak memvalidasi atau menyaring atribut IPP ketika menulisnya ke file PPD sementara, memungkinkan penyisipan data yang dikendalikan oleh penyerang dalam PPD yang dihasilkan.
- CVE-2024-47177 – cups-filters <= 2.0.1 foomatic-rip memungkinkan eksekusi perintah arbitrer melalui parameter FoomaticRIPCommandLine PPD.
Konsekuensi dari kekurangan ini adalah mereka dapat dijadikan rantai eksploitasi yang memungkinkan penyerang membuat perangkat pencetak palsu di sistem Linux yang diekspos ke jaringan dan memicu eksekusi kode jarak jauh setelah mengirim pekerjaan cetak.
“Masalah ini muncul karena penanganan yang tidak benar terhadap pengumuman ‘Printer Baru Tersedia’ di komponen ‘cups-browsed’, dikombinasikan dengan validasi yang buruk oleh ‘cups’ atas informasi yang diberikan oleh sumber pencetak yang berbahaya,” kata perusahaan keamanan jaringan Ontinue.
“Kerentanan ini berasal dari validasi data jaringan yang tidak memadai, memungkinkan penyerang membuat sistem rentan untuk menginstal driver printer berbahaya, lalu mengirim pekerjaan cetak ke driver tersebut yang memicu eksekusi kode berbahaya. Kode berbahaya dieksekusi dengan hak istimewa pengguna lp – bukan pengguna super ‘root.'”
RHEL, dalam sebuah nasihat, mengatakan bahwa semua versi sistem operasi tersebut terpengaruh oleh empat kerentanan ini, tetapi mencatat bahwa sistem tersebut tidak rentan dalam konfigurasi default mereka. RHEL menandai masalah ini sebagai penting, mengingat dampak di dunia nyata kemungkinan rendah.
“Dengan menggabungkan kelompok kerentanan ini, penyerang berpotensi mencapai eksekusi kode jarak jauh yang dapat menyebabkan pencurian data sensitif dan/atau kerusakan pada sistem produksi kritis,” kata mereka.
Perusahaan keamanan siber Rapid7 menunjukkan bahwa sistem yang terpengaruh dapat dieksploitasi, baik dari internet publik atau antar segmen jaringan, hanya jika port UDP 631 dapat diakses dan layanan rentan sedang mendengarkan.
Palo Alto Networks telah mengungkapkan bahwa tidak ada produk dan layanan cloud mereka yang mengandung perangkat lunak terkait CUPS yang disebutkan, sehingga tidak terpengaruh oleh kerentanan ini.
Patch untuk kerentanan ini sedang dikembangkan dan diperkirakan akan dirilis dalam beberapa hari mendatang. Hingga saat itu, disarankan untuk menonaktifkan dan menghapus layanan cups-browsed jika tidak diperlukan, serta memblokir atau membatasi lalu lintas ke port UDP 631.
“Sepertinya kerentanan RCE Linux yang diumumkan sebagai bencana besar untuk sistem Linux hanya memengaruhi sebagian kecil sistem,” kata Benjamin Harris, CEO WatchTowr, dalam sebuah pernyataan yang dibagikan dengan The Hacker News.
