Falha no CUPS, sistema de impressão open-source, permite amplificar ataques DDoS em até 600 vezes
A vulnerabilidade, rastreada como CVE-2024-47176, no daemon “cups-browsed”, pode ser explorada para obter execução remota de código em sistemas similares ao Unix com o envio de um único pacote UDP, facilitando ataques DDoS.
Ela é ativada quando um pacote especialmente elaborado é enviado para um servidor CUPS exposto e vulnerável, enganando-o para tratar um alvo como uma impressora a ser adicionada. Cada pacote enviado a servidores CUPS vulneráveis gera solicitações IPP/HTTP maiores, direcionadas ao dispositivo alvo, impactando tanto o alvo quanto o servidor CUPS, consumindo largura de banda e recursos de CPU.
Pesquisadores de segurança estimam que cerca de 58 mil servidores, de um total de mais de 198 mil dispositivos expostos, poderiam ser utilizados para tais ataques. Muitas dessas máquinas vulneráveis executam versões desatualizadas do CUPS desde 2007, tornando-se alvos fáceis para cibercriminosos que podem explorá-las para construir botnets por meio de execução remota de código (RCE) ou utilizá-las para amplificação de DDoS.
Além disso, centenas de dispositivos vulneráveis demonstraram um “loop infinito” de solicitações, com alguns servidores CUPS enviando repetidamente solicitações após uma sondagem inicial e outros entrando em um loop sem fim em resposta a erros específicos de HTTP/404.
Esse ataque de amplificação DDoS exige recursos mínimos e pode ser executado rapidamente, permitindo que invasores assumam o controle de todos os serviços CUPS expostos na internet em questão de segundos.
Recomenda-se aplicar patches para a CVE-2024-47176 ou desativar o serviço cups-browsed para prevenir possíveis ataques e mitigar o risco de que os servidores sejam adicionados a uma botnet ou utilizados em ataques DDoS.