Недавно раскрытая уязвимость в системе печати с открытым исходным кодом Common Unix Printing System (CUPS) может быть использована злоумышленниками для проведения распределенных атак типа «отказ в обслуживании» (DDoS) с коэффициентом усиления 600x.
Как обнаружили исследователи безопасности Akamai, дефект безопасности CVE-2024-47176 в демоне cups-browsed, который можно объединить с тремя другими ошибками для удаленного выполнения кода на Unix-подобных системах через один UDP-пакет, также может быть использован для усиления DDoS-атак.
Уязвимость проявляется, когда злоумышленник отправляет специально созданный пакет, обманывая сервер CUPS, заставляя его воспринимать цель как принтер, который необходимо добавить.
Каждый пакет, отправленный на уязвимые серверы CUPS, побуждает их генерировать более крупные запросы IPP/HTTP, направленные на целевое устройство. Это влияет как на целевое устройство, так и на сервер CUPS, потребляя их пропускную способность и ресурсы процессора.
Начинается с одного вредоносного UDP-пакета
Чтобы начать такую атаку, злоумышленнику достаточно отправить всего один пакет на уязвимую службу CUPS, выставленную в Интернете. По оценкам исследователей Akamai, около 58 000 серверов из более чем 198 000 открытых устройств могут быть задействованы для DDoS-атак.
Более того, сотни уязвимых устройств продемонстрировали «бесконечный цикл» запросов, причем некоторые серверы CUPS неоднократно отправляли запросы после получения первоначального зонда, а некоторые серверы попадали в бесконечный цикл в ответ на определенные ошибки HTTP/404.
Многие из этих уязвимых машин работали под управлением устаревших версий CUPS (начиная с 2007 года), которые являются легкой мишенью для злоумышленников, способных использовать их для создания ботнетов по цепочке RCE или для усиления DDoS.
«В самом худшем случае мы наблюдали бесконечный поток попыток подключения и запросов в результате одного зонда. Этим потокам, похоже, нет конца, и они будут продолжаться до тех пор, пока демон не будет убит или перезапущен. Многие из этих систем, которые мы наблюдали в ходе тестирования, устанавливали тысячи запросов, отправляя их в нашу тестовую инфраструктуру. В некоторых случаях такое поведение продолжалось бесконечно»
- заявили исследователи Akamai
Секунды, необходимые для проведения атаки
Для осуществления этой DDoS-атаки требуется минимум ресурсов и времени. Akamai предупреждает, что угрожающий субъект может легко взять под контроль все открытые службы CUPS в Интернете за считанные секунды.
Администраторам рекомендуется установить патчи CVE-2024-47176 или отключить службу cups-browsed от запуска, чтобы блокировать потенциальные атаки и снизить риск добавления своих серверов в ботнет или использования их в DDoS-атаках.
«DDoS продолжает оставаться жизнеспособным вектором атак, используемым для преследования и нарушения работы жертв по всему интернету, от крупных отраслей и правительств до мелких создателей контента, интернет-магазинов и геймеров»
- предупреждают исследователи Akamai
«Хотя первоначальный анализ был сфокусирован на RCE, что могло привести к более серьезным последствиям, усиление DDoS также легко может быть использовано в этом случае».
Как сообщила компания Cloudflare на этой неделе, ее системам защиты от DDoS пришлось защищать клиентов от волны гипер-объемных L3/4 DDoS-атак, достигших 3,8 терабита в секунду (Тбит/с), что стало крупнейшей подобной атакой из когда-либо зафиксированных.