LINUX.ORG.RU

Рутовая дыра в CUPS, позволяющая поиметь твой комп парой UDP пакетов

 , ,


1

4

Привет, ЛОР!

В CUPS нашли зияющую огромную дыру размером с кратер от ядерного взрыва. Если у тебя есть CUPS, лучше бы его вырубить нахрен, закрыть udp порт 631 и удалить cups-browsed. Всё это включено из коробки в убанте и федоре, если что. Патчей пока нет.

Изначально планировалось, что информацию о дыре опубликуют 5 октябра, но эксплоит утёк раньше, поэтому нашедший её чувак опубликовал всё сегодня.

Длинный ролик на YT на Лундюка: https://www.youtube.com/watch?v=EdyKQicDRys

Утёкший отчёт: https://gist.github.com/stong/c8847ef27910ae344a7b5408d9840ee1

Длинный пост от чувака, нашедшего дыру: https://www.evilsocket.net/2024/09/26/Attacking-UNIX-systems-via-CUPS-Part-I/

P.S. если кому надо шквор, пилите новость :)

Перемещено hobbit из talks

★★★★★

Последнее исправление: hateyoufeel (всего исправлений: 7)
Ответ на: комментарий от vbr

Это не настройка сетевого экрана.

Но стоковая конфигурация nftables искаропки, по крайней мере на Manjaro и Arch, как раз таки обеспечивает «эффект NAT». А «настройка обхода» ничуть не сложнее, скорее проще, чем настройка проброса портов в интерфейсе роутера.

QsUPt7S ★★
()
Ответ на: комментарий от QsUPt7S

Только что проверил убунту, после установки /etc/nftables пустой (при этом ещё надо знать, что этот пакет надо установить). В дебиане так же. В арче реально настроенный, я удивлён. Что такое манжаро не знаю.

vbr ★★★★
()
Ответ на: комментарий от firkax

Зачем браузер от рута то?

что бы принтер настроить, по http://127.0.0.1:631 в браузере из под root такие натройки становятся доступны, но это дичь браузер из под root запускать, а другого способа настроить принтер я не нагуглил

amd_amd ★★★★★
()
Ответ на: комментарий от u5er

Дак это cups слушает tcp 631, а udp 631 слушает cups-browsed, который должен динамически конфигурировать (создавать) принтеры, появляющиеся в сети. То есть включать cups-browsed просто так, это примерно как в большой неуправляемой сети включить dhcp, а потом удивляться, почему левый ip-адрес и ничего не работает...

mky ★★★★★
()
Ответ на: комментарий от XOXO

Принтеры давно уже не нужны, ну может где в провинции или деревне еще пользуются.

Как деревенский житель подтверждаю - принтер используется раз несколько в год.

watchcat382
()
Ответ на: комментарий от Gonzo

просто серваки с голым задом в интернете

И что,вот просто так с голым задом,да еще и легко находимые,и никто не использует в своих целях? Я не имею в виду цели деструктивные,а например настроить себе там прокси на белом IP чтобы через него ходить туда,куда из-за NAT сотового оператора не пускает. Ну или наоборот - туннель с определенного порта «ихнего» белого IP к себе за NAT сотового оператора.

watchcat382
()
Ответ на: комментарий от watchcat382

И что,вот просто так с голым задом,да еще и легко находимые

Чем-то удивлен? SSH-сервер без аутентификации по ключам (как минимум) - это тоже сервер, если что. Либо где-нибудь поднятый VNC без пароля, который тупо забыл установить нуб-сисадмин (либо с дефолтными 12345, коих там тысячи).

Про вебкамеры молчу. Сам заходил и менял дефолтные настройки, делая идиотам «каку».

и никто не использует в своих целях?

Используют, конечно же, тихо-незаметно сливая ту или иную sensitive data.

Я не имею в виду цели деструктивные,а например настроить себе там прокси на белом IP

Откуда мне знать. Свяжись со взломщиками да разузнай, будешь в курсе.

Gonzo ★★★★★
()

Если у тебя есть CUPS, лучше бы его вырубить нахрен, закрыть udp порт 631

У них что порт по умолчанию открыт во внешнюю сеть, а не в localhost? Вот в чём тогда дыра. Зачем мне по умолчанию нужен сервер печати в интернет если мне надо только на локалтном принтере подключённым по USB печатать?

Золотое правило безопасности что весь доступ по умолчанию должен быть отключён и включать только тогда когда в этом есть надобность.

X512 ★★★★★
()
Ответ на: комментарий от X512

сломанный voip/p2p

Так сложно прописать разрешённые порты?

Ну ты позвони своему провайдеру, попроси его прописать порты. Посмотри куда он тебя пошлёт.

hateyoufeel ★★★★★
() автор топика
Ответ на: комментарий от X512

Золотое правило безопасности что весь доступ по умолчанию должен быть отключён и включать только тогда когда в этом есть надобность.

Написал пользователь лялекса, где любая пользовательская софтина может срать в $HOME куда и сколько ей захочется и читать оттуда любые ключи/пароли.

hateyoufeel ★★★★★
() автор топика
Ответ на: комментарий от X512

Атомарные дистрибутивы тут никак не в тему. В NixOS софт так же может срать в $HOME.

Контейнеры могли бы помочь, только на десктопе их почему-то никто не юзает. Когда убанта засунула огнелиса и хромого в Snap, такой вой поднялся!

hateyoufeel ★★★★★
() автор топика
Ответ на: комментарий от hateyoufeel

Ну ты позвони своему провайдеру, попроси его прописать порты. Посмотри куда он тебя пошлёт.

Вот, кстати, нужно было на проваидерском роутере порты прописать, а они стираются после перезапуска. И официальны ответ проваидера был - купи свой роутер. Уроды!!!

her_s_gory
()

27 числа фикс автоматически прилетел в Ubuntu с unattended-upgrade, если у вас нет автоматического обновления, достаточно обновиться

Commandline: /usr/bin/unattended-upgrade
Upgrade: libcups2:amd64 (2.4.1op1-1ubuntu4.10, 2.4.1op1-1ubuntu4.11), libcups2:i386 (2.4.1op1-1ubuntu4.10, 2.4.1op1-1ubuntu4.11), cups-bsd:amd64 (2.4.1op1-1ubuntu4.10, 2.4.1op1-1ubuntu4.11), cups-common:amd64 (2.4.1op1-1ubuntu4.10, 2.4.1op1-1ubuntu4.11), cups-client:amd64 (2.4.1op1-1ubuntu4.10, 2.4.1op1-1ubuntu4.11), cups-daemon:amd64 (2.4.1op1-1ubuntu4.10, 2.4.1op1-1ubuntu4.11), cups-ipp-utils:amd64 (2.4.1op1-1ubuntu4.10, 2.4.1op1-1ubuntu4.11), libcupsimage2:amd64 (2.4.1op1-1ubuntu4.10, 2.4.1op1-1ubuntu4.11), cups-core-drivers:amd64 (2.4.1op1-1ubuntu4.10, 2.4.1op1-1ubuntu4.11), cups:amd64 (2.4.1op1-1ubuntu4.10, 2.4.1op1-1ubuntu4.11), cups-server-common:amd64 (2.4.1op1-1ubuntu4.10, 2.4.1op1-1ubuntu4.11)
End-Date: 2024-09-27  06:20:20

Start-Date: 2024-09-27  06:20:33
Commandline: /usr/bin/unattended-upgrade
Upgrade: cups-filters-core-drivers:amd64 (1.28.15-0ubuntu1.2, 1.28.15-0ubuntu1.3)
End-Date: 2024-09-27  06:20:34

Start-Date: 2024-09-27  06:20:37
Commandline: /usr/bin/unattended-upgrade
Upgrade: cups-filters:amd64 (1.28.15-0ubuntu1.2, 1.28.15-0ubuntu1.3)
End-Date: 2024-09-27  06:20:39

Start-Date: 2024-09-27  06:20:42
Commandline: /usr/bin/unattended-upgrade
Upgrade: cups-ppdc:amd64 (2.4.1op1-1ubuntu4.10, 2.4.1op1-1ubuntu4.11)
End-Date: 2024-09-27  06:20:42

Start-Date: 2024-09-27  06:20:45
Commandline: /usr/bin/unattended-upgrade
Upgrade: libcupsfilters1:amd64 (1.28.15-0ubuntu1.2, 1.28.15-0ubuntu1.3)
End-Date: 2024-09-27  06:20:46

В данный момент cups слушает на tcp и только в локальную сеть tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN 20282/cupsd

anonymous_sama ★★★★★
()
Последнее исправление: anonymous_sama (всего исправлений: 1)