CUPS: cómo encontrar dispositivos vulnerables a RCE y DDoS en 5 minutos
El nuevo escáner en línea hará la vida mucho más fácil a los administradores de sistemas.
El investigador de ciberseguridad Marcus Hutchins, conocido como MalwareTech, lanzó un escáner automatizado para detectar servidores Linux y UNIX vulnerables que son susceptibles a ataques a través de la vulnerabilidad CUPS, registrada como CVE-2024-47176. Esta herramienta puede ayudar a los administradores del sistema a encontrar dispositivos con el servicio cups-browsed habilitado, que bajo ciertas condiciones pueden ser susceptibles a la ejecución remota de código (RCE).
La vulnerabilidad fue descubierta por primera vez el mes pasado gracias al investigador de seguridad Simone Margaritelli, quien identificó este problema. Aunque la posibilidad de explotación de RCE en condiciones reales es limitada, los investigadores de Akamai declararon que esta vulnerabilidad también puede utilizarse para amplificar ataques DDoS en hasta 600 veces.
El problema radica en que el servicio cups-browsed vincula su puerto de control (UDP 631) a cualquier interfaz de red disponible, haciéndolo accesible para cualquier sistema. En ausencia de la autenticación adecuada, cualquier usuario en la red puede enviar comandos a través de este puerto.
El escáner creado por Hutchins utiliza un script en Python que ayuda a los administradores del sistema a escanear redes locales y detectar dispositivos con versiones vulnerables de CUPS. Según el desarrollador, incluso si el puerto no es accesible a través de Internet debido a cortafuegos o NAT, aún puede estar disponible en la red local, lo que abre posibilidades para la escalación de privilegios y el movimiento lateral.
El principio de funcionamiento del escáner consiste en enviar paquetes UDP especiales a las direcciones de red dentro de un rango especificado, tras lo cual los dispositivos vulnerables responden al servidor indicando la presencia del problema. Los resultados del escaneo se guardan en dos registros: el primero contiene las direcciones IP y la versión de CUPS de los dispositivos vulnerables, y el segundo proporciona información detallada sobre las solicitudes HTTP enviadas, lo que permite un análisis más profundo.
El uso de este escáner ayudará a los administradores del sistema a planificar con antelación las correcciones y a minimizar el riesgo de explotación de la vulnerabilidad CVE-2024-47176.
Este caso con CUPS muestra claramente la importancia de realizar comprobaciones regulares de vulnerabilidades en los dispositivos de red. Hoy en día, incluso los errores que parecen menores a primera vista pueden convertirse en herramientas para ataques masivos que amenazan la integridad de todo el sistema.
No esperes a que los hackers te ataquen: ¡suscríbete a nuestro canal y conviértete en una fortaleza impenetrable!