Akamai раскрывает очередную брешь в системе печати UNIX.
Специалисты Akamai выявили новую уязвимость в системе CUPS (Common Unix Printing System), которая может быть использована для проведения DDoS-атак. Чтобы начать атаку, злоумышленнику достаточно отправить один пакет на уязвимый сервис CUPS с доступом к интернету.
По данным Akamai, в сети находится свыше 198 000 уязвимых устройств, из которых около 34% (более 58 000) потенциально могут быть использованы для DDoS-атак. Наиболее опасно то, что для запуска успешной атаки хакеру потребуется минимум ресурсов: все уязвимые сервисы CUPS можно скомпрометировать за секунды.
26 сентября исследователь evilsocket опубликовал информацию об уязвимостях в CUPS, которые могут быть использованы для удаленного выполнения кода (RCE). Атака включает в себя цепочку из четырех уязвимостей, позволяющих выполнять команды на удаленном сервере посредством манипуляций с IPP-URL.
Однако, кроме удаленного выполнения кода, CUPS может быть использован для усиления DDoS-атак. Суть заключается в том, что злоумышленник отправляет модифицированный пакет, определяющий адрес жертвы как принтер для добавления в систему. В ответ на это уязвимый сервер CUPS начинает отправлять крупные запросы IPP/HTTP на этот адрес
Хакеру нужен простой скрипт, который направляет вредоносный UDP-пакет на уязвимый CUPS. Сервер CUPS начинает отправлять запросы на IP-адрес жертвы, загружая его трафиком и ресурсами.
Схема атаки
В ходе исследований Akamai выявили, что среди 58 000 уязвимых устройств некоторые вели себя как «бесконечный цикл» — после получения начальных запросов они продолжали отправлять тысячи запросов, иногда бесконечно. Такое поведение приводит к значительной нагрузке на ресурсы как атакуемых серверов, так и уязвимых хостов CUPS.
Большая часть уязвимых устройств работает на устаревших версиях CUPS, например, 1.3, выпущенной в 2007 году. Отсутствие обновлений повышает риск вредоносного использования серверов для кибератак.
Анализ показал, что такой вид атаки может усилить трафик до 600 раз в среднем и более 100 раз в худшем случае. Даже если коэффициент усиления не так высок, объём отправляемых жертве данных будет очень большим, создавая нагрузку на серверы.
Эксперты предупреждают, что эксплуатировать уязвимость хакеры могут в ближайшее время, поскольку уязвимые версии CUPS остаются широко распространенными, а обновление систем занимает время. Организациям, которые могут стать потенциальной мишенью, рекомендуется принять меры для защиты сетей, включая обновление ПО CUPS или блокировку доступа к портам сервиса (UDP/631).
