【安全资讯】OpenPrinting CUPS存在组合漏洞致远程代码执行

安恒信息CERT监测到OpenPrinting CUPS存在多个漏洞（CVE-2024-47175、CVE-2024-47176、CVE-2024-47177、CVE-2024-47076），安恒研究院利用AVPT技术对这些漏洞进行综合评估，发现其存在组合利用的可能。并对这些漏洞的组合利用危害进行评估得出其危害极高。

漏洞描述及影响范围：

CVE-2024-47175：libppd <= 2.1b1

在函数ppdCreatePPDFromIPP2中没有对从IPP（互联网打印协议）返回的属性进行充分验证，这可能导致攻击者通过恶意数据注入生成的PPD（PostScript Printer Description）文件，从而在受害系统上执行任意代码。

CVE-2024-47176：cups-browsed <= 2.0.1

cups-browsed绑定到INADDR_ANY:631端口，它将会信任任何来源的网络数据包。攻击者可以利用这一漏洞通过伪造的URL发送恶意请求，进而引入恶意打印机，最终导致远程执行任意命令。

CVE-2024-47177：cups-filters <= 2.0.1

通过PPD文件传递给FoomaticRIPCommandLine的参数用户可控，导致攻击者可以利用该漏洞对其进行恶意构造致任意命令执行。

CVE-2024-47076：libcupsfilters <= 2.1b1

攻击者可以通过发送恶意数据控制CUPS系统的行为，在生成PPD文件时引入恶意代码。

产品支持情况：

明鉴漏洞扫描系统（主机扫描）V1.0.3669.0及以上版本已支持检测。

官方修复方案：官方尚未发布修复方案，建议用户尽快采取措施，减少潜在的攻击面，并保持关注相关的安全更新和补丁发布。

临时缓解方案：

自我排查

1、检查cups-browsed服务状态，可以在终端运行以下命令：

systemctl status cups-browsed

若服务正在运行，您将看到其状态显示为”active(running)”；若未启用，则可能会显示”inactive”或”failed”。 

2、运行以下命令检查cups-browsed服务是否在系统启动时自动启用：

systemctl is-enabled cups-browsed

若输出为“enabled”，则表示该服务会在系统启动时自动启动；若是“disabled”，则表示未启用。

3、使用CUPS Web界面查看：通过访问 CUPS Web 界面（通常是 http://localhost:631）并导航到“Administration”部分，可以查看当前服务的状态和配置。

4、运行以下命令以查看 cups-browsed 进程是否在运行：

ps aux | grep cups-browsed

如果输出中有 cups-browsed 进程，则表示该服务正在运行。若cups-browsed 服务启用但不必要，建议禁用该服务以提高安全性，可以通过以下命令禁用它：

sudo systemctl disable cups-browsed

并停止该服务：

sudo systemctl stop cups-browsed

参考链接：

[1]https://security-tracker.debian.org/tracker/CVE-2024-47175

[2]https://security-tracker.debian.org/tracker/CVE-2024-47176

[3]https://security-tracker.debian.org/tracker/CVE-2024-47177

[4]https://security-tracker.debian.org/tracker/CVE-2024-47076