Potentielle vulnérabilité critique sous Linux (score de 9.9)

Une vulnérabilité de sécurité de niveau de sévérité CRITIQUE (score de 9.9) a été découverte sur Linux. La vulnérabilité concerne le serveur d'impression de Linux nommé CUPS.

Les CVE suivants ont été assignés à cette vulnérabilité : CVE-2024-47176, CVE-2024-47076, CVE-2024-47175 et CVE-2024-47177.  Il se peut que des CVE additionnels soient rajoutés. 

 

Que sait-on de la vulnérabilité

Cette vulnérabilité est de type RCE. L’exploitation de ce type de vulnérabilité permet à un attaquant d'exécuter à distance du code système (programme informatique) qui va impacter le système attaqué.  

Noter que le pirate n’a pas besoin d’être authentifié pour exploiter une vulnérabilité RCE. Autrement dit, l’attaque peut aboutir même si vous utilisez un mot de passe très complexe avec le MFA pour accéder au serveur qui à la vulnérabilité RCE.

Mode opératoire et exploitation de la vulnérabilité

Cette vulnérabilité RCE peut être exploité à distance via un paquet UDP sur le port 631 sans que l'attaquant soit authentifié, si le port CUPS/631 soit ouvert sur la machine Linux et est autorisé dans votre coupe-feu.

Versions Linux vulnérables

  • la plupart des distributions GNU/Linux
  • certains BSD.
  • Etc.

Des details seront fournis ultérieurement.

 

Considérations sur les vulnérabilités ayant un score de 9.9

Le score de la vulnérabilité étant très élevé (9.9 sur une échelle de 10), cela signifique que:

  • La vulnérabilité peut être exploitée à distance.

  • Aucune authentification n'est requise pour exploiter la vulnérabilité.

  • L'attaquant n'a pas besoin de connaître le mot de passe du serveur attaqué

  • La vulnérabilité peut être exploitée facilement.

  • les impacts peuvent être majeurs sur la cible attaquée

 

Mesures recommandées 

  • Si non nécessaire, désactivez/désinstallez le service cups-browsed sur vos machines Linux si vous n'en avez pas besoin. Par exemple: pour les systèmes RedHat :
    • pour verifier si le service est activé : sudo systemctl status cups-browsed
    • pour arrêter ou desactiver le service : sudo  systemctl stop cups-browsed ou $ sudo systemctl disable cups-browsed 
  • Mettez à jour  CUPS à la dernière version sur vos systèmes (si vous avez besoin de ce service)
  • Bloquez dans votre coupe-feu les communications UDP entrantes vers le port 631 (si vous n’avez pas besoin que CUPS soit accessible à l’externe).

 

Que fait Streamscan pour vous protéger

Si vous êtes partenaire de Streamscan :

  • Nous avons mis en place une cellule de crise pour suivre l’évolution de cette vulnérabilité critique. Nous appliquerons les mesures de reponse appropriées.

  • Notre équipe de surveillance de la sécurité DRG/MDR maintient sa vigilance lors de la surveillance de votre réseau.

Prochaines étapes

  • Des details additionnels sont attendus pour cette vulnérabilité. Nous posterons une mise à jour lorsque de nouvelles informations seront disponibles.