Critical Unauthenticated RCE Flaws in CUPS Printing Systems | Qualys Security Blog
주요 내용
- CUPS(공통 유닉스 인쇄 시스템)에서 인증되지 않은 원격 코드 실행(RCE) 취약점이 발견됨. 이 취약점은 GNU/Linux 시스템을 포함한 다양한 시스템에서 원격 공격자가 인증 없이 악의적인 코드를 실행할 수 있게 함
- CVSS 점수 9.9로 매우 심각한 취약점으로 평가되었으며, Canonical과 Red Hat 등 주요 조직이 이 취약점을 확인하고 긴급 패치를 권고함
취약점 세부 내용
- CUPS 구성 요소별 취약점
- CVE-2024-47176
- cups-browsed가 모든 UDP 패킷을 신뢰하여 공격자가 악성 IPP 요청을 보낼 수 있게 함
- CVE-2024-47076
- libcupsfilters가 IPP 서버에서 반환된 속성을 제대로 검증하지 않아 공격자가 데이터를 변조할 수 있음
- CVE-2024-47175
- libppd가 IPP 속성을 검증하지 않고 PPD 파일에 기록하여 악성 데이터 주입 가능
- CVE-2024-47177
- cups-filters에서 foomatic-rip가 임의 명령어 실행을 허용
- CVE-2024-47176
- CUPS 구성 요소별 취약점
영향
- GNU/Linux 시스템을 포함한 다양한 Unix 계열 운영 체제에 광범위하게 배포된 구성 요소로, 네트워크 인쇄 프로토콜(IPP)을 악용하여 공격자는 임의 명령어 실행이 가능
- 공격자는 특수 제작된 UDP 패킷을 포트 631로 전송하여 피해자의 시스템을 공격할 수 있음
완화 방안
- cups-browsed 비활성화: 사용하지 않을 경우 서비스 중지 및 비활성화
- 네트워크 방화벽 설정: UDP 포트 631을 차단하고, mDNS/DNS-SD 서비스 제한
- CUPS 패키지 업데이트: 보안 업데이트가 배포되는 즉시 CUPS와 관련 구성 요소 업데이트
중요성
- 광범위한 영향: GNU/Linux 서버와 클라우드 인프라, 임베디드 장치 등에서 이 취약점은 광범위한 공격 표면을 제공
- 인증 없이 실행 가능: 공격자는 인증 없이 원격 코드 실행을 통해 시스템을 완전히 제어할 수 있음
- 패치 전까지 시스템 취약: 패치가 배포되기 전까지 시스템은 공격에 취약
기업을 위한 권장 사항
- CUPS 시스템의 노출 위험을 평가하고, 네트워크 접근을 제한하며, 불필요한 서비스 비활성화 및 엄격한 접근 제어를 구현해야 함
- 패치가 배포되는 즉시 신속한 패치 적용을 준비하고, 패치가 서비스 중단을 일으키지 않도록 사전 테스트를 철저히 해야 함
Qualys의 지원
- 취약 자산 탐지
- Qualys CSAM 3.0 및 QID를 통해 취약한 CUPS 자산을 식별하고 포트 631이 열려 있는 자산을 추적하여 노출을 관리
- 대시보드 관리
- Qualys Unified Dashboard를 통해 조직 내 노출 상황과 취약 자산 상태를 실시간으로 추적하며, 평균 복구 시간(MTTR)을 모니터링
- 취약 자산 탐지
결론
- 이 취약점은 인터넷에 직접 노출되거나 로컬 네트워크에서 실행되는 시스템에 심각한 위험을 초래할 수 있음
- 사전 예방 조치를 통해 무차별적인 원격 코드 실행을 방지하고, 신속한 패치 배포 준비를 통해 조직의 노출을 최소화해야 함
'Kant's IT > Vulnerability' 카테고리의 다른 글
| Nvidia Container Toolkit 취약점으로 인한 컨테이너 탈출 및 호스트 장악 위험 (0) | 2024.09.29 |
|---|---|
| Citrix XenServer 및 Citrix Hypervisor 보안 업데이트 발표 (1) | 2024.09.28 |
| 미국 CISA, 이반티 취약점 긴급 패치 권고 (1) | 2024.09.28 |
| CERT/CC 경고: Microchip ASF의 미패치된 치명적 취약점 (0) | 2024.09.25 |
| ESET 제품의 권한 상승 취약점 수정 (0) | 2024.09.25 |