Uma falha de segurança significativa foi recentemente divulgada, afetando a pilha de impressão CUPS, amplamente utilizada na maioria das principais distribuições Linux para desktop, incluindo o Ubuntu e o Chrome OS. A vulnerabilidade, que permite a execução remota de código, possui uma pontuação de gravidade de 9,9, classificando-se entre as falhas mais críticas possíveis.
Descrição da Vulnerabilidade
De acordo com um comunicado no blog de segurança da Canonical, a vulnerabilidade explora uma falha no CUPS, onde é possível induzir o sistema a gerar um arquivo PPD (PostScript Printer Description) manipulado por um invasor. Esse arquivo pode conter comandos arbitrários, que são executados assim que um novo trabalho de impressão é enviado para a impressora comprometida. O código é executado com permissões do usuário lp
, que é o padrão do daemon CUPS, e não possui privilégios escalonados adicionais, a menos que outras vulnerabilidades sejam exploradas.
Embora muitas vulnerabilidades exijam acesso físico ao dispositivo ou estejam associadas a configurações específicas, essa falha pode ser explorada remotamente e sem autenticação. O pesquisador Simone Margaritelli, responsável pela descoberta, detalha em seu blog pessoal como um invasor pode explorar a falha enviando um pacote UDP para a porta 631 ou falsificando anúncios de rede na LAN.
A Red Hat também esclareceu a cadeia de ataque em detalhes, que inclui os seguintes passos:
- Ativação do serviço
cups-browsed
. - O invasor obtém acesso a um servidor vulnerável, seja por meio de um acesso irrestrito pela internet ou por conexão a uma rede interna confiável.
- O invasor anuncia um servidor IPP malicioso, configurando uma impressora comprometedora.
- Um usuário tenta imprimir a partir da impressora maliciosa.
- O código arbitrário é executado no sistema da vítima.
Estima-se que essa vulnerabilidade tenha estado presente no CUPS por anos, representando um risco significativo para a segurança de sistemas Linux.
Mitigação e Atualizações
Apesar da gravidade, existem medidas de mitigação e correções já disponíveis:
- Proteção por firewall ou roteador NAT: Usuários que bloqueiam a porta 631 em firewalls ou roteadores NAT provavelmente nunca foram expostos à falha.
- Atualizações de segurança: A Canonical lançou atualizações críticas para pacotes como
cups-browsed
,cups-filters
,libcupsfilters
elibppd
em todas as versões suportadas do Ubuntu. Essas atualizações corrigem quatro vulnerabilidades identificadas e outros bugs nos pacotes afetados.
Recomenda-se que os usuários verifiquem se as atualizações foram aplicadas e reiniciem o sistema para garantir que as correções entrem em vigor.
Embora a Canonical tenha respondido rapidamente com as correções, Simone Margaritelli destacou dificuldades iniciais em fazer com que os responsáveis reconhecessem a gravidade do problema. Em um comentário sobre o CUPS, o pesquisador expressou sua decisão de remover o serviço e todos os componentes relacionados do CUPS dos seus sistemas, assim como os serviços zeroconf, avahi e bonjour, para evitar futuras ameaças.
Aqueles interessados em mais detalhes podem consultar as publicações técnicas e análises disponíveis em blogs e redes sociais, embora seja aconselhável cautela ao buscar informações para evitar exposição a links suspeitos.
Por fim, é altamente recomendado que todos os usuários apliquem os patches de segurança fornecidos pelas distribuições Linux e mantenham seus sistemas atualizados para mitigar qualquer possível exploração dessa falha.