Os pesquisadores de segurança da Akamai descobriram que a falha no CUPS pode ser usada para amplificar ataques DDoS.
Uma vulnerabilidade recentemente divulgada no sistema de impressão de código aberto Common Unix Printing System (CUPS) pode ser explorada por agentes de ameaças para lançar ataques de negação de serviço distribuído (DDoS) com um fator de amplificação de 600x.
Falha no CUPS pode ser usada para amplificar ataques DDoS
Como os pesquisadores de segurança da Akamai descobriram, uma falha de segurança CVE-2024-47176 no daemon cups-browsed que pode ser encadeada com três outros bugs para obter execução remota de código em sistemas do tipo Unix por meio de um único pacote UDP também pode ser aproveitada para amplificar ataques DDoS.
A vulnerabilidade é acionada quando um invasor envia um pacote especialmente criado, enganando um servidor CUPS para tratar um alvo como uma impressora a ser adicionada.
Cada pacote enviado a servidores CUPS vulneráveis os solicita a gerar solicitações IPP/HTTP maiores direcionadas ao dispositivo alvo. Isso afeta tanto o alvo quanto o servidor CUPS, consumindo sua largura de banda e recursos de CPU.
Para iniciar tal ataque, um agente malicioso precisa apenas enviar um único pacote para um serviço CUPS exposto e vulnerável exposto online.
Pesquisadores da Akamai estimam que cerca de 58.000 servidores, de mais de 198.000 dispositivos expostos, poderiam ser recrutados para ataques DDoS.
Além disso, centenas de dispositivos vulneráveis demonstraram um “loop infinito” de solicitações, com alguns servidores CUPS enviando solicitações repetidamente após receber uma sondagem inicial e alguns servidores entrando em um loop infinito em resposta a erros HTTP/404 específicos.
Muitas dessas máquinas vulneráveis estavam executando versões desatualizadas do CUPS (que remontam a 2007), que são alvos fáceis para criminosos cibernéticos que podem explorá-los para construir botnets por meio da cadeia RCE ou usá-los para amplificação de DDoS.
“No pior cenário, observamos o que parecia ser um fluxo infinito de tentativas de conexão e solicitações como resultado de uma única sonda. Esses fluxos parecem não ter fim e continuarão até que o daemon seja encerrado ou reiniciado”, disseram os pesquisadores da Akamai.
“Muitos desses sistemas que observamos em testes estabeleceram milhares de solicitações, enviando-as para nossa infraestrutura de testes. Em alguns casos, esse comportamento pareceu continuar indefinidamente.”
Este ataque de amplificação DDoS também requer recursos mínimos e pouco tempo para ser executado. A Akamai alerta que um agente de ameaça pode facilmente assumir o controle de todos os serviços CUPS expostos na Internet em segundos.
Os administradores são aconselhados a implantar patches CVE-2024-47176 ou desabilitar a execução do serviço cups-browsed para bloquear ataques em potencial e mitigar o risco de ter seus servidores adicionados a uma botnet ou usados em ataques DDoS.
“DDoS continua a ser um vetor de ataque viável usado para assediar e interromper vítimas na internet, de grandes indústrias e governos a pequenos criadores de conteúdo, lojas online e jogadores”, alertaram os pesquisadores da Akamai.
“Embora a análise original tenha se concentrado no RCE, que poderia ter um resultado mais severo, a amplificação de DDoS também é facilmente abusada neste caso.”
Como a Cloudflare revelou esta semana, seus sistemas de defesa DDoS tiveram que proteger os clientes contra uma onda de ataques DDoS L3/4 hipervolumétricos atingindo 3,8 terabits por segundo (Tbps), o maior ataque desse tipo já registrado.
