La comunidad de usuarios y desarrolladores de Linux se ha visto sacudida por la revelación de un 'pack' de vulnerabilidades críticas en el sistema CUPS (Common Unix Printing System), un componente esencial en la mayoría de las distribuciones de Linux, utilizado para gestionar las tareas de impresión.
La amenaza, descubierta y reportada por el experto en ciberseguridad Simone Margaritelli, tiene el potencial de permitir la ejecución de código remoto (RCE) en sistemas GNU/Linux, y posiblemente en otros sistemas operativos Unix como BSD, ChromeOS y Solaris.
Así, el encadenamiento de una serie de fallos de seguridad podrían permitir a un atacante tomar el control de un PC a través de algo tan simple como una tarea de impresión.
CUPS y la vulnerabilidad
Margaritelli descubrió múltiples fallos en el sistema, específicamente en el servicio cups-browsed y otras bibliotecas relacionadas con la impresión. Estos fallos permiten que un atacante, sin autenticación, envíe paquetes maliciosos a través del puerto UDP 631, aprovechando la confianza del sistema en los datos entrantes.
La vulnerabilidad ha sido categorizada con identificadores CVE (la nomenclatura estándar de las vulnerabilidades informáticas) que incluyen:
- CVE-2024-47176: Relacionado con el servicio cups-browsed, que acepta cualquier paquete de cualquier fuente.
- CVE-2024-47076: En la biblioteca libcupsfilters, que no valida adecuadamente los atributos devueltos por una solicitud maliciosa.
- CVE-2024-47175: Afecta a libppd, que no sanitiza los atributos de la impresora al escribirlos en un archivo temporal.
- CVE-2024-47177: En cups-filters, donde se ejecutan comandos arbitrarios a partir de datos maliciosos.
Por separado, las cuatro vulnerabilidades no serían especialmente relevantes. Pero, al encadenarlas, un atacante podría ejecutar comandos arbitrarios cuando el usuario inicia una tarea de impresión.
Margaritelli demostró que es posible aprovechar esta cadena de fallos para crear una impresora falsa, que el sistema Linux detectaría y añadiría automáticamente sin intervención del usuario. Cuando el usuario inicia una tarea de impresión en esta impresora comprometida, se ejecutan los comandos maliciosos, otorgando al atacante control sobre el sistema.
Problemas a la hora de divulgar de forma controlada el bug
Por si esto fuera poco, el habitual proceso de divulgación de estas vulnerabilidades ha estado marcado por los conflictos entre el investigador y los desarrolladores de CUPS. Margaritelli, tras intentar alertar a estos últimos y recibir respuestas que consideró insuficientes, optó por hacer públicas las vulnerabilidades.
En su publicación, criticó duramente el proceso de reporte de fallos de seguridad y la falta de atención por parte de los responsables del proyecto. Además, una filtración de los detalles de su investigación a un foro de ciberdelincuencia aceleró su divulgación pública (en origen, prevista para el día 30), y ha generado bastante preocupación en los círculos de ciberseguridad.
¿Cómo de grave es realmente la amenaza?
Aunque algunos expertos en seguridad, como Benjamin Harris de watchTowr, han restado importancia al riesgo de esta vulnerabilidad, otros insisten en la necesidad de una acción inmediata. Harris señaló que solo una pequeña fracción de los sistemas Linux estaría expuesta, lo que sugiere que la vulnerabilidad podría no ser tan devastadora como se pensaba inicialmente.
Un reconocido experto como Kevin Beaumont denuncia que Margaritelli ha estado generando 'hype' en redes sociales sobre la amenaza, y que muchos medios están haciendo que el problema "parezca lo que no es".
Sin embargo, Margaritelli calculó que existen entre 200.000 y 300.000 dispositivos vulnerables conectados públicamente, lo que subraya el potencial de una explotación masiva si los atacantes deciden actuar.
La vulnerabilidad recibió una puntuación preliminar de 9,9 en el CVSS (Sistema de Puntuación de Vulnerabilidad Común), una clasificación que normalmente indica un riesgo crítico. Sin embargo, la necesidad de interacción del usuario para iniciar una tarea de impresión ha llevado a algunos expertos a cuestionar si la gravedad merece tan alta puntuación.
Los responsables de Red Hat, por su parte, aclaran que en su web que conceden a este conjunto de vulnerabilidades
"un impacto de gravedad de 'Importante'. Si bien todas las versiones de RHEL están afectadas, es importante tener en cuenta que los paquetes afectados no son vulnerables en su configuración predeterminada".
Así que, en resumen, la vulnerabilidad de CUPS plantea una amenaza considerable, pero no es ningún apocalipsis inminente... si bien la falta de parches disponibles aumenta el riesgo de que los atacantes encuentren formas más sofisticadas de aprovecharla.
Consejos para mitigar el riesgo
Mientras los parches oficiales están en desarrollo, se han sugerido varias medidas de mitigación:
- Desactivar o eliminar el servicio 'cups-browsed' si no es necesario. Lo primero se puede hacer con el comando 'sudo systemctl stop cups-browsed', y lo segundo con 'sudo systemctl disable cups-browsed'.
- Actualizar la instalación de CUPS en cuanto estén disponibles los parches.
- Bloquear el acceso al puerto UDP 631 y considerar bloquear también los servicios de descubrimiento de impresoras, como DNS-SD.
- Si no se necesita CUPS para imprimir, desinstalarlo por completo podría ser la mejor opción.
Imagen | Marcos Meirno mediante IA
En Genbeta | Una vulnerabilidad crítica en Sudo permite ganar acceso root en casi cualquier distro Linux
Ver 0 comentarios