Han detectado un fallo grave que afecta al paquete CUPS de Linux. Se trata del sistema de impresión que usa el protocolo IPP o Internet Printing Protocol. No se trata de algo nuevo, ya que lleva décadas existiendo, pero es muy utilizado. De hecho, es el más utilizado en Linux y suele estar presente en FreeBSD, NetBSD y OpenBSD. Este fallo permite la ejecución de código remoto y es importante que actúes.
Te vamos a explicar exactamente en qué consiste este problema, por qué es tan peligroso y qué opciones tienes, como usuario, para protegerte. Cuando aparecen vulnerabilidades de este tipo, actuar lo antes posible es esencial para prevenir ataques informáticos y que puedan robar datos, contraseñas o tomar el control del equipo.
Vulnerabilidad grave en Linux
Son varias vulnerabilidades y han sido registradas como CVE-2024-47076, CVE-2024-47175, CVE-2024-47176 y CVE-2024-47177. Todas ellas afectan a los paquetes CUPS. Uno de ellos afecta a una característica que se encarga de buscar impresoras en la red local y poder usarlas para imprimir. Estos fallos llevan más de 20 años y hasta ahora no los han descubierto.
El impacto puede llegar a ser importante. Permitiría a un atacante sin autorización, ejecutar código de forma remota. Podría llegar a reemplazar las impresoras existentes y, además, no ser detectado por las víctimas. Podría agregar una nueva impresora y empezar a ejecutar código malicioso que se inicie en el sistema.
Para lograr este ataque, pueden enviar paquetes UDP a través del puerto 631. Para ello, como decimos, no necesitarían autenticarse en ningún momento. Cuando la víctima vaya a imprimir, ese comando malicioso se iniciará. Además, la impresión se va a realizar correctamente, de forma paralela a otros comandos que puedan ejecutarse.
No obstante, aunque se trate de un fallo importante, y potencialmente pueda afectar a muchos usuarios, es imprescindible un requisito previo: tener habilitado cups-browsed. De forma predeterminada, no suele estar habilitado y es el usuario quien tiene que hacerlo. Por tanto, esto limita, al menos en muchos casos, la probabilidad de éxito.
Además, el atacante va a necesitar engañar a la víctima para que imprima un documento desde un servidor, el malicioso que aparecerá en el sistema como nuevo. Aquí tendrían que buscar alguna estrategia, mediante ingeniería social, por ejemplo, para lograr que la víctima caiga.
Básicamente, de forma resumida, podemos decir que el atacante va a enviar un paquete de red UDP al equipo de la víctima, utilizando para ello el puerto 631. A través de ese paquete, va a provocar que el servicio cups-browsed se conecte a un sitio controlado por el atacante. Posteriormente, al enviar instrucciones maliciosas, la víctima tendría que imprimir algo y que ese código, ese archivo malicioso, se ejecute. Si todo esto sale adelante, el ciberdelincuente tendría el control del equipo.
Cómo protegerte
Por el momento, no hay parches disponibles para este problema. Sin embargo, sí que puedes llevar a cabo medidas para mitigarlo. Básicamente, vas a tener dos opciones sencillas que podrías llevar a cabo para protegerte por completo de este problema:
- Deshabilitar o eliminar el servicio cups-browsed, que es imprescindible para que el ataque se lleve a cabo.
- Bloquear el puerto 631.
Ten en cuenta que es posible que ya tengas deshabilitado el servicio cups-browsed. En ese caso, realmente no necesitas hacer nada más. Siempre puedes comprobar si lo tienes activado o no y determinar así si tu equipo puede ser vulnerable a este tipo de ataque. Como indican en la red social X, puedes comprobarlo a través del comando «systemctl status cups».
En definitiva, un fallo importante puede comprometer la seguridad de Linux a través del paquete CUPS. Es algo que lleva más de 20 años así, pero hasta ahora no se ha detectado el problema. Como decimos, es complicado que realmente puedan aprovecharlo, pero sí que existe la posibilidad. Controlar los permisos en servidores con Linux, por ejemplo, es esencial para preservar la seguridad.
El artículo Han detectado un grave fallo en el paquete CUPS de Linux, deshabilita esto lo antes posible o actualiza se publicó en RedesZone.
0 Commentaires