Odkryto krytyczne zagrożenie na Linux, macOS i innych systemach. Nie masz drukarki? To nie musisz się przejmować

Mimo że Linux, a zasadniczo to dystrybucje oparte na tym jądrze, są uznawane za stosunkowo bezpieczne, to tak jak w przypadku systemu Windows istnieją w nich luki, które mogą wykorzystać cyberprzestępcy, aby nam zaszkodzić. Tym razem dotyczą one systemu drukowania, który jest obecny zarówno we wspomnianych dystrybucjach, jak i w systemach "uniksopodobnych", takich jak macOS. Używając tych luk, można wyzwolić złośliwy kod w momencie rozpoczęcia drukowania.

W dystrybucjach opartych na jądrze Linux, a także w systemach takich jak macOS, odkryto poważne luki związane z CUPS. Dzięki nim można zdalnie uruchomić kod na komputerze ofiary, kiedy zacznie ona... drukować.

0.0.0.0 Day - krytyczna luka w przeglądarkach na macOS i Linuksie, którą jedna z firm poznała 18 lat temu. Do dziś nic się nie zmieniło

Mimo że poziom zagrożenia znalezionych przez Simone'a Margaritelli'ego podatności uważa się za niezwykle wysoki (9,9/10 - CVSS), to ich realny wpływ na komputery (np. z Linuksem na pokładzie) użytkowników jest naprawdę niewielki. Wszystko dlatego, że musi zaistnieć całkiem sporo czynników, aby cyberprzestępca mógł wykorzystać wspomniane już luki (CVE-2024-47076, CVE-2024-47175, CVE-2024-47176 lub CVE-2024-47177) w systemie drukowania (CUPS - Common UNIX Printing System). Po pierwsze usługa cups-browsed (wykrywanie i zarządzanie drukarkami sieciowymi; wykorzystywany w tym celu jest internetowy protokół drukowania - IPP) musi być włączona (w większości dystrybucji domyślnie nie jest), aby nasłuchiwać na porcie UDP 631. Ten ostatni musi być dodatkowo aktywny i dostępny w sieci lokalnej (do której cyberprzestępca musi mieć dostęp) lub w Internecie (a warto wspomnieć, że często zapora sieciowa blokuje ruch z tego portu). Wtedy przestępca może zdalnie utworzyć fałszywą drukarkę, która będzie korzystać ze spreparowanego pliku konfiguracyjnego (PPD - PostScript Printer Description). Gdy użytkownik zechce coś wydrukować i w tym celu skorzysta z nowej drukarki, to złośliwy kod z pliku PPD zostanie uruchomiony (jako użytkownik lp).

Procesory Apple M1, M2 i M3 z poważną luką bezpieczeństwa, która może umożliwić kradzież kluczy kryptograficznych

Jak poważne są więc omawiane luki? Podatnych osób jest w sieci całkiem sporo (według Qualys publicznie dostępnych zasobów jest 75 tys., ale tylko ponad 42 tys. z nich akceptuje nieuwierzytelnione połączenia), natomiast dla zwykłego użytkownika, który ostrożnie korzysta z komputera, zagrożenie jest relatywnie małe. Fałszywa drukarka musi bowiem zostać wybrana do procesu drukowania, kiedy już zostanie dodana przez IPP. Aby to było w ogóle możliwe, usługa cups-browsed musi być włączona, a zazwyczaj tak nie jest. Co innego w dużych firmach, które opierają się na CUPS, a pracownicy nieczęsto zwracają uwagę na wybraną drukarkę. Firma Canonical wydała już odpowiednie poprawki (dla pakietów cups-browsed, cups-filters, libcupsfilters oraz libppd), które są dostępne w formie aktualizacji dla dystrybucji Ubuntu. Na dalszy rozwój wydarzeń trzeba jeszcze poczekać, ale w przypadku większości użytkowników - nie ma się czego obawiać. Chociaż warto podkreślić, że luki były obecne (i być może wykorzystywane) przez wiele lat.