Бесконечный DDoS: CUPS превращает принтеры в невольных соучастников кибератак

Akamai раскрывает очередную брешь в системе печати UNIX.


gi2f4b1c29y1feajeudfidbv7bjm6s3v.jpg


Специалисты Akamai выявили новую уязвимость в системе CUPS (Common Unix Printing System), которая может быть использована для проведения DDoS -атак. Чтобы начать атаку, злоумышленнику достаточно отправить один пакет на уязвимый сервис CUPS с доступом к интернету.

По данным Akamai, в сети находится свыше 198 000 уязвимых устройств, из которых около 34% (более 58 000) потенциально могут быть использованы для DDoS-атак. Наиболее опасно то, что для запуска успешной атаки хакеру потребуется минимум ресурсов: все уязвимые сервисы CUPS можно скомпрометировать за секунды.

26 сентября исследователь evilsocket опубликовал информацию об уязвимостях в CUPS, которые могут быть использованы для удаленного выполнения кода ( RCE ). Атака включает в себя цепочку из четырех уязвимостей, позволяющих выполнять команды на удаленном сервере посредством манипуляций с IPP-URL.

Однако, кроме удаленного выполнения кода, CUPS может быть использован для усиления DDoS-атак. Суть заключается в том, что злоумышленник отправляет модифицированный пакет, определяющий адрес жертвы как принтер для добавления в систему. В ответ на это уязвимый сервер CUPS начинает отправлять крупные запросы IPP/HTTP на этот адрес

Хакеру нужен простой скрипт, который направляет вредоносный UDP-пакет на уязвимый CUPS. Сервер CUPS начинает отправлять запросы на IP-адрес жертвы, загружая его трафиком и ресурсами.


ads642bashl12wsh3xidgn6lu11z7gu0.png


Схема атаки

В ходе исследований Akamai выявили, что среди 58 000 уязвимых устройств некоторые вели себя как «бесконечный цикл» — после получения начальных запросов они продолжали отправлять тысячи запросов, иногда бесконечно. Такое поведение приводит к значительной нагрузке на ресурсы как атакуемых серверов, так и уязвимых хостов CUPS.

Большая часть уязвимых устройств работает на устаревших версиях CUPS, например, 1.3, выпущенной в 2007 году. Отсутствие обновлений повышает риск вредоносного использования серверов для кибератак.

Анализ показал, что такой вид атаки может усилить трафик до 600 раз в среднем и более 100 раз в худшем случае. Даже если коэффициент усиления не так высок, объём отправляемых жертве данных будет очень большим, создавая нагрузку на серверы.

Эксперты предупреждают, что эксплуатировать уязвимость хакеры могут в ближайшее время, поскольку уязвимые версии CUPS остаются широко распространенными, а обновление систем занимает время. Организациям, которые могут стать потенциальной мишенью, рекомендуется принять меры для защиты сетей, включая обновление ПО CUPS или блокировку доступа к портам сервиса (UDP/631).