Linux : la faille de sécurité dans CUPS peut être utilisée pour amplifier des attaques DDoS
Une faille de sécurité récemment découverte dans le système d'impression open-source CUPS pourrait permettre à des pirates de lancer des attaques DDoS avec un facteur d'amplification de x600. Faisons le point.
Cette faille de sécurité, identifiée par la référence CVE-2024-47176, réside dans le composant cups-browsed du système d'impression CUPS (Common Unix Printing System) pour les systèmes Linux et Unix. Exploitée avec 3 autres vulnérabilités, elle permet d'exécuter du code à distance sur les machines Linux vulnérables via un simple paquet UDP, et ce mécanisme peut également être utilisé pour amplifier des attaques DDoS.
Une amplification par une simple requête
L'attaque commence lorsqu'un pirate envoie un paquet spécialement conçu à un serveur CUPS vulnérable. Celui-ci, trompé, considère la cible comme une imprimante à ajouter, ce qui déclenche des requêtes IPP/HTTP plus volumineuses visant l'appareil cible. Cela engendre une surcharge des ressources en bande passante et en CPU, affectant à la fois la cible (c'est-à-dire la fausse imprimante) et le serveur CUPS.
D'après les chercheurs en sécurité de chez Akamai, il y aurait près de 58 000 serveurs CUPS exposés sur Internet et vulnérables à cette attaque, sur un total de 198 000 serveurs détectés. De plus, certains systèmes ont même montré un comportement surprenant : ils effectuent des requêtes via une « boucle infinie », à la suite de certaines erreurs (par exemple, une erreur HTTP/404 spécifique).
Akamai précise que ces serveurs sont souvent équipés de versions obsolètes de CUPS, datant de 2007. Pour les cybercriminels, ils représentent des cibles faciles et ils peuvent les utiliser dans des botnets ou pour amplifier des attaques DDoS. Les chercheurs d'Akamai ont observé que dans le pire des scénarios, une seule sonde pouvait déclencher des flux de requêtes sans fin, nécessitant l'arrêt manuel du démon pour y mettre fin...
"Un grand nombre de ces systèmes que nous avons observés lors des tests établissaient des milliers de requêtes, les envoyant à notre infrastructure de test. Dans certains cas, ce comportement semblait se poursuivre indéfiniment.", peut-on lire dans le rapport.
Si vous n'utilisez pas CUPS, il est recommandé de désactiver "cups-browsed" sur votre machine. Sinon, vous devez installer un correctif afin de protéger votre serveur, bien qu'il soit aussi possible de se protéger avec des règles de firewall.
