심층 분석: GNU-Linux 시스템의 심각한 CUPS 취약성 탐색
지난 몇 년 동안 심각도가 높은 여러 취약점이 시스템에 다양한 방식으로 영향을 미친 것으로 알려지면서 Linux 사용자는 최근 어려움을 겪고 있습니다.보안 연구원들이 이제 풀어야 할 또 다른 취약점이 있는데, 이 취약점은 모두 강력한 원격 코드 실행 (RCE) 의 잠재적 경로가 있는 GNU/Linux 시스템을 대상으로 하는 공통 UNIX 인쇄 시스템 (CUPS) 기능과 관련이 있습니다.
2024년 9월 27일, evilsocket.net의 시몬 마르가리텔리 게시된 중요 정보 CUPS에서 악용될 수 있는 몇 가지 취약점에 대한 내용이었으며, 이후 그 중 4개에 CVE가 할당되었습니다.이 수치는 증가할 수 있지만, 이 글을 쓰는 시점에서 보안 커뮤니티는 이러한 발견의 실제 심각도에 대해 논쟁을 벌이고 있습니다.CVE 중 하나이긴 하지만 CVE-2024-47177는 현재 MITRE에서 제공하는 임계 심각도 등급이 9.1입니다. 이 명령 삽입 결함을 성공적으로 조작하려면 CUPS 서비스가 활성화된 서버가 필요하며, 추가로 UDP 포트 631 또는 DNS-SD에 대한 액세스도 필요합니다. 레드햇 하지만 CUPS를 다른 포트에 다시 매핑할 수 있다는 점에 유의하십시오.
Margaritelli가 사건을 종합적으로 분석한 결과 커뮤니티의 의견 차이에도 불구하고 무시해서는 안 되는 교활하고 복잡한 일련의 공격이 드러납니다.이를 통해 위협 행위자가 충분히 결정되고 잘못된 코딩 패턴으로 인해 작은 기회가 열려 있었다면 겉보기에 무해해 보이는 종속성이 심각하게 악용될 수 있다는 교훈을 얻을 수 있습니다.
CUPS 시나리오는 많은 개발자 및 AppSec 전문가가 이전에 경험했던 것과는 약간 다릅니다. 따라서 그 과정에서 여러분의 기술을 살펴보고 테스트해 보겠습니다.
취약점: CUPS를 통한 원격 코드 실행 (RCE)
더 이빌소켓 블로그 이러한 악용에 대한 타의 추종을 불허하는 철저한 배경을 제공합니다. 이 자료는 우리가 계속해서 면밀히 추적할 것입니다.Margaritelli는 자신의 기사에서 익명의 소식통도 인용했는데, 그는 Linux의 일반적인 보안 견고성에 대해 낙관적이지 않은 것으로 보입니다.
”일반적인 보안 관점에서 볼 때, 오늘날의 전체 Linux 시스템은 악용되기를 기다리는 끝없는 절망적인 보안 허점에 불과합니다.”
이는 오픈 소스 환경에서 여전히 만연하고 있는 내재된 보안 위험을 상기시켜 줍니다. 글로벌 개발 커뮤니티에서 보안 인식과 보안 코딩 기술을 강화해야 할 절실한 필요성은 말할 것도 없습니다.
CVE를 살펴보겠습니다.
취약점 체인은 널리 퍼져 있으며 현재 다음 패키지의 모든 최신 및 이전 버전에 영향을 미칩니다.
- 디스트로텍/컵-필터
- 오픈 프린팅/컵 - 필터
- 컵스 브라우징
- 립컵 필터
- libppd
CUPS는 20년이 넘는 기간 동안 UNIX 및 Linux 운영 체제의 레거시 구성 요소였습니다.인쇄 서비스 종속성으로 기능하기 때문에 네트워크 요청을 신속하게 수행할 수 있어 RCE급 취약성의 주요 표적이 되고 있습니다.
그러나 이 경우 공격이 결합되어 성공적인 결과를 제공하는 방식에는 어느 정도 독창성이 있습니다.이는 근본적으로 인증되지 않고 탐지되지 않은 공격자가 새로 추가된 프린터의 기능을 설명하는 데 사용되는 파일인 “PPD (PostScript Printer Description)" 파일에 명령 삽입을 유발할 수 있는 명령을 수정하는 것 외에도 IPP (인터넷 인쇄 프로토콜) URL을 악성 URL로 대체할 수 있는 능력입니다.이로 인해 인쇄 작업이 활성화되면 명령 실행 공격이 발생하며, 이는 CUPS 구성 요소 내의 입력 유효성 검사 부족에 의존합니다.
게다가 이 특정 취약점을 수정하면 Evilsocket과 같은 양날의 검이 만들어집니다. 지적합니다.CUPS에는 Foomatic-rip 필터가 포함되어 있습니다. 이 필터는 이전에 위험도가 높고 악용 가능한 구성 요소였던 이력이 있는 실행 파일입니다.이 구성 요소와 관련된 CVE는 2011년으로 거슬러 올라갑니다. Foomatic-rip을 활용하여 OS 명령을 실행할 수 있다는 것이 확인되었지만, 이 문제를 해결하면 안정성 문제가 발생하고 많은 구형 프린터의 지원이 손실될 수 있습니다.이는 극복하기 복잡한 문제입니다.
- 위협 행위자가 공격을 시작합니다.
- CVE-2024-47176: Cups-browsed <= 2.0.1은 INADR_ANY를 사용하여 UDP 포트 631에 바인딩되므로 취약합니다. 즉, 모든 소스에서 수신한 모든 패킷을 신뢰한다는 의미입니다.이를 통해 인증되지 않은 원격 공격자가 조작된 IPP URL (공격자가 제어하는 IPP 서버를 가리킴) 이 포함된 악의적인 UDP 패킷을 전송하여 취약점을 트리거할 수 있습니다.피해자의 컴퓨터는 이제 새 프린터에 연결 중이라고 생각하고 프린터 특성을 묻는 요청을 보냅니다.
- 피해자 시스템이 프린터 속성을 처리합니다.
- CVE-2024-47076: libcupsfilters <= 2.1b1은 CFGetPrinterAttributes5에 취약점이 있습니다. 이 취약점은 IPP 서버에서 반환된 IPP 속성을 제대로 검증하거나 삭제하지 못합니다.Cups-browsed가 패킷을 처리할 때 공격자가 보낸 악성 속성을 읽도록 속일 수 있습니다.
- 피해자 시스템이 공격자-컨트롤러 IPP 서버에 연결
- CVE-2024-47175: PPDCreatePPDFromIPP2 함수의 libppd <= 2.1b1b1은 IPP 특성을 임시 PPD (포스트스크립트 프린터 설명) 파일에 저장할 때 IPP 특성을 제대로 검증하거나 삭제하지 않습니다.이를 통해 공격자는 FoomatiCripCommandline 지시문을 비롯한 임의의 데이터를 PPD 파일에 주입할 수 있습니다. 이 지시어는 인쇄 시스템에서 나중에 실행할 수 있습니다.
- 피해자 시스템이 인쇄 작업을 시작하고 공격자의 코드가 실행됩니다.
CVE-2024-47177: cups-filters <= 2.0.1은 foomatic-rip 필터가 FoomatiCripCommandline 지시문을 통해 임의의 명령을 실행하여 공격자가 컵스에서 탐색한 프로세스처럼 명령을 실행할 수 있기 때문에 취약합니다.공격자는 피해자의 컴퓨터가 인쇄 작업을 시작할 때까지 기다립니다.이런 일이 발생하는 순간 공격자의 악성 코드가 실행됩니다 (원격 코드 실행).
RCE 위험을 어떻게 완화할 수 있을까요?
CUPS를 비즈니스 운영의 일부로 활용하는 회사의 경우 다음의 권장 개선 조언을 따라야 합니다. 이블 소켓 과 레드햇.여기에는 긴급 수준의 우선 순위로 보안 패치를 적용하는 것이 포함되며 이에 국한되지 않습니다.
커맨드 인젝션에 대한 일반적인 내용은 다음을 참조하십시오. 종합 가이드.
더 많은 무료 코딩 가이드라인에 관심이 있다면 확인해 보세요. 시큐어 코드 코치 보안 코딩 모범 사례를 최신 상태로 유지할 수 있도록 도와줍니다.
일반 UNIX 인쇄 시스템 (CUPS) 의 최근 심각도가 높은 취약성을 살펴보면서 Linux 사용자가 직면하고 있는 최신 보안 문제를 알아보십시오.이러한 문제가 어떻게 잠재적 RCE (원격 코드 실행) 로 이어질 수 있는지, 그리고 시스템을 보호하기 위해 무엇을 할 수 있는지 알아보십시오.
Secure Code Warrior는 전체 소프트웨어 개발 라이프사이클에서 코드를 보호하고 사이버 보안을 최우선으로 생각하는 문화를 조성할 수 있도록 조직을 위해 여기 있습니다.AppSec 관리자, 개발자, CISO 또는 보안 관련 누구든 관계없이 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 도와드릴 수 있습니다.
데모 예약
Laura Verheyde is a software developer at Secure Code Warrior focused on researching vulnerabilities and creating content for Missions and Coding labs.
지난 몇 년 동안 심각도가 높은 여러 취약점이 시스템에 다양한 방식으로 영향을 미친 것으로 알려지면서 Linux 사용자는 최근 어려움을 겪고 있습니다.보안 연구원들이 이제 풀어야 할 또 다른 취약점이 있는데, 이 취약점은 모두 강력한 원격 코드 실행 (RCE) 의 잠재적 경로가 있는 GNU/Linux 시스템을 대상으로 하는 공통 UNIX 인쇄 시스템 (CUPS) 기능과 관련이 있습니다.
2024년 9월 27일, evilsocket.net의 시몬 마르가리텔리 게시된 중요 정보 CUPS에서 악용될 수 있는 몇 가지 취약점에 대한 내용이었으며, 이후 그 중 4개에 CVE가 할당되었습니다.이 수치는 증가할 수 있지만, 이 글을 쓰는 시점에서 보안 커뮤니티는 이러한 발견의 실제 심각도에 대해 논쟁을 벌이고 있습니다.CVE 중 하나이긴 하지만 CVE-2024-47177는 현재 MITRE에서 제공하는 임계 심각도 등급이 9.1입니다. 이 명령 삽입 결함을 성공적으로 조작하려면 CUPS 서비스가 활성화된 서버가 필요하며, 추가로 UDP 포트 631 또는 DNS-SD에 대한 액세스도 필요합니다. 레드햇 하지만 CUPS를 다른 포트에 다시 매핑할 수 있다는 점에 유의하십시오.
Margaritelli가 사건을 종합적으로 분석한 결과 커뮤니티의 의견 차이에도 불구하고 무시해서는 안 되는 교활하고 복잡한 일련의 공격이 드러납니다.이를 통해 위협 행위자가 충분히 결정되고 잘못된 코딩 패턴으로 인해 작은 기회가 열려 있었다면 겉보기에 무해해 보이는 종속성이 심각하게 악용될 수 있다는 교훈을 얻을 수 있습니다.
CUPS 시나리오는 많은 개발자 및 AppSec 전문가가 이전에 경험했던 것과는 약간 다릅니다. 따라서 그 과정에서 여러분의 기술을 살펴보고 테스트해 보겠습니다.
취약점: CUPS를 통한 원격 코드 실행 (RCE)
더 이빌소켓 블로그 이러한 악용에 대한 타의 추종을 불허하는 철저한 배경을 제공합니다. 이 자료는 우리가 계속해서 면밀히 추적할 것입니다.Margaritelli는 자신의 기사에서 익명의 소식통도 인용했는데, 그는 Linux의 일반적인 보안 견고성에 대해 낙관적이지 않은 것으로 보입니다.
”일반적인 보안 관점에서 볼 때, 오늘날의 전체 Linux 시스템은 악용되기를 기다리는 끝없는 절망적인 보안 허점에 불과합니다.”
이는 오픈 소스 환경에서 여전히 만연하고 있는 내재된 보안 위험을 상기시켜 줍니다. 글로벌 개발 커뮤니티에서 보안 인식과 보안 코딩 기술을 강화해야 할 절실한 필요성은 말할 것도 없습니다.
CVE를 살펴보겠습니다.
취약점 체인은 널리 퍼져 있으며 현재 다음 패키지의 모든 최신 및 이전 버전에 영향을 미칩니다.
- 디스트로텍/컵-필터
- 오픈 프린팅/컵 - 필터
- 컵스 브라우징
- 립컵 필터
- libppd
CUPS는 20년이 넘는 기간 동안 UNIX 및 Linux 운영 체제의 레거시 구성 요소였습니다.인쇄 서비스 종속성으로 기능하기 때문에 네트워크 요청을 신속하게 수행할 수 있어 RCE급 취약성의 주요 표적이 되고 있습니다.
그러나 이 경우 공격이 결합되어 성공적인 결과를 제공하는 방식에는 어느 정도 독창성이 있습니다.이는 근본적으로 인증되지 않고 탐지되지 않은 공격자가 새로 추가된 프린터의 기능을 설명하는 데 사용되는 파일인 “PPD (PostScript Printer Description)" 파일에 명령 삽입을 유발할 수 있는 명령을 수정하는 것 외에도 IPP (인터넷 인쇄 프로토콜) URL을 악성 URL로 대체할 수 있는 능력입니다.이로 인해 인쇄 작업이 활성화되면 명령 실행 공격이 발생하며, 이는 CUPS 구성 요소 내의 입력 유효성 검사 부족에 의존합니다.
게다가 이 특정 취약점을 수정하면 Evilsocket과 같은 양날의 검이 만들어집니다. 지적합니다.CUPS에는 Foomatic-rip 필터가 포함되어 있습니다. 이 필터는 이전에 위험도가 높고 악용 가능한 구성 요소였던 이력이 있는 실행 파일입니다.이 구성 요소와 관련된 CVE는 2011년으로 거슬러 올라갑니다. Foomatic-rip을 활용하여 OS 명령을 실행할 수 있다는 것이 확인되었지만, 이 문제를 해결하면 안정성 문제가 발생하고 많은 구형 프린터의 지원이 손실될 수 있습니다.이는 극복하기 복잡한 문제입니다.
- 위협 행위자가 공격을 시작합니다.
- CVE-2024-47176: Cups-browsed <= 2.0.1은 INADR_ANY를 사용하여 UDP 포트 631에 바인딩되므로 취약합니다. 즉, 모든 소스에서 수신한 모든 패킷을 신뢰한다는 의미입니다.이를 통해 인증되지 않은 원격 공격자가 조작된 IPP URL (공격자가 제어하는 IPP 서버를 가리킴) 이 포함된 악의적인 UDP 패킷을 전송하여 취약점을 트리거할 수 있습니다.피해자의 컴퓨터는 이제 새 프린터에 연결 중이라고 생각하고 프린터 특성을 묻는 요청을 보냅니다.
- 피해자 시스템이 프린터 속성을 처리합니다.
- CVE-2024-47076: libcupsfilters <= 2.1b1은 CFGetPrinterAttributes5에 취약점이 있습니다. 이 취약점은 IPP 서버에서 반환된 IPP 속성을 제대로 검증하거나 삭제하지 못합니다.Cups-browsed가 패킷을 처리할 때 공격자가 보낸 악성 속성을 읽도록 속일 수 있습니다.
- 피해자 시스템이 공격자-컨트롤러 IPP 서버에 연결
- CVE-2024-47175: PPDCreatePPDFromIPP2 함수의 libppd <= 2.1b1b1은 IPP 특성을 임시 PPD (포스트스크립트 프린터 설명) 파일에 저장할 때 IPP 특성을 제대로 검증하거나 삭제하지 않습니다.이를 통해 공격자는 FoomatiCripCommandline 지시문을 비롯한 임의의 데이터를 PPD 파일에 주입할 수 있습니다. 이 지시어는 인쇄 시스템에서 나중에 실행할 수 있습니다.
- 피해자 시스템이 인쇄 작업을 시작하고 공격자의 코드가 실행됩니다.
CVE-2024-47177: cups-filters <= 2.0.1은 foomatic-rip 필터가 FoomatiCripCommandline 지시문을 통해 임의의 명령을 실행하여 공격자가 컵스에서 탐색한 프로세스처럼 명령을 실행할 수 있기 때문에 취약합니다.공격자는 피해자의 컴퓨터가 인쇄 작업을 시작할 때까지 기다립니다.이런 일이 발생하는 순간 공격자의 악성 코드가 실행됩니다 (원격 코드 실행).
RCE 위험을 어떻게 완화할 수 있을까요?
CUPS를 비즈니스 운영의 일부로 활용하는 회사의 경우 다음의 권장 개선 조언을 따라야 합니다. 이블 소켓 과 레드햇.여기에는 긴급 수준의 우선 순위로 보안 패치를 적용하는 것이 포함되며 이에 국한되지 않습니다.
커맨드 인젝션에 대한 일반적인 내용은 다음을 참조하십시오. 종합 가이드.
더 많은 무료 코딩 가이드라인에 관심이 있다면 확인해 보세요. 시큐어 코드 코치 보안 코딩 모범 사례를 최신 상태로 유지할 수 있도록 도와줍니다.
지난 몇 년 동안 심각도가 높은 여러 취약점이 시스템에 다양한 방식으로 영향을 미친 것으로 알려지면서 Linux 사용자는 최근 어려움을 겪고 있습니다.보안 연구원들이 이제 풀어야 할 또 다른 취약점이 있는데, 이 취약점은 모두 강력한 원격 코드 실행 (RCE) 의 잠재적 경로가 있는 GNU/Linux 시스템을 대상으로 하는 공통 UNIX 인쇄 시스템 (CUPS) 기능과 관련이 있습니다.
2024년 9월 27일, evilsocket.net의 시몬 마르가리텔리 게시된 중요 정보 CUPS에서 악용될 수 있는 몇 가지 취약점에 대한 내용이었으며, 이후 그 중 4개에 CVE가 할당되었습니다.이 수치는 증가할 수 있지만, 이 글을 쓰는 시점에서 보안 커뮤니티는 이러한 발견의 실제 심각도에 대해 논쟁을 벌이고 있습니다.CVE 중 하나이긴 하지만 CVE-2024-47177는 현재 MITRE에서 제공하는 임계 심각도 등급이 9.1입니다. 이 명령 삽입 결함을 성공적으로 조작하려면 CUPS 서비스가 활성화된 서버가 필요하며, 추가로 UDP 포트 631 또는 DNS-SD에 대한 액세스도 필요합니다. 레드햇 하지만 CUPS를 다른 포트에 다시 매핑할 수 있다는 점에 유의하십시오.
Margaritelli가 사건을 종합적으로 분석한 결과 커뮤니티의 의견 차이에도 불구하고 무시해서는 안 되는 교활하고 복잡한 일련의 공격이 드러납니다.이를 통해 위협 행위자가 충분히 결정되고 잘못된 코딩 패턴으로 인해 작은 기회가 열려 있었다면 겉보기에 무해해 보이는 종속성이 심각하게 악용될 수 있다는 교훈을 얻을 수 있습니다.
CUPS 시나리오는 많은 개발자 및 AppSec 전문가가 이전에 경험했던 것과는 약간 다릅니다. 따라서 그 과정에서 여러분의 기술을 살펴보고 테스트해 보겠습니다.
취약점: CUPS를 통한 원격 코드 실행 (RCE)
더 이빌소켓 블로그 이러한 악용에 대한 타의 추종을 불허하는 철저한 배경을 제공합니다. 이 자료는 우리가 계속해서 면밀히 추적할 것입니다.Margaritelli는 자신의 기사에서 익명의 소식통도 인용했는데, 그는 Linux의 일반적인 보안 견고성에 대해 낙관적이지 않은 것으로 보입니다.
”일반적인 보안 관점에서 볼 때, 오늘날의 전체 Linux 시스템은 악용되기를 기다리는 끝없는 절망적인 보안 허점에 불과합니다.”
이는 오픈 소스 환경에서 여전히 만연하고 있는 내재된 보안 위험을 상기시켜 줍니다. 글로벌 개발 커뮤니티에서 보안 인식과 보안 코딩 기술을 강화해야 할 절실한 필요성은 말할 것도 없습니다.
CVE를 살펴보겠습니다.
취약점 체인은 널리 퍼져 있으며 현재 다음 패키지의 모든 최신 및 이전 버전에 영향을 미칩니다.
- 디스트로텍/컵-필터
- 오픈 프린팅/컵 - 필터
- 컵스 브라우징
- 립컵 필터
- libppd
CUPS는 20년이 넘는 기간 동안 UNIX 및 Linux 운영 체제의 레거시 구성 요소였습니다.인쇄 서비스 종속성으로 기능하기 때문에 네트워크 요청을 신속하게 수행할 수 있어 RCE급 취약성의 주요 표적이 되고 있습니다.
그러나 이 경우 공격이 결합되어 성공적인 결과를 제공하는 방식에는 어느 정도 독창성이 있습니다.이는 근본적으로 인증되지 않고 탐지되지 않은 공격자가 새로 추가된 프린터의 기능을 설명하는 데 사용되는 파일인 “PPD (PostScript Printer Description)" 파일에 명령 삽입을 유발할 수 있는 명령을 수정하는 것 외에도 IPP (인터넷 인쇄 프로토콜) URL을 악성 URL로 대체할 수 있는 능력입니다.이로 인해 인쇄 작업이 활성화되면 명령 실행 공격이 발생하며, 이는 CUPS 구성 요소 내의 입력 유효성 검사 부족에 의존합니다.
게다가 이 특정 취약점을 수정하면 Evilsocket과 같은 양날의 검이 만들어집니다. 지적합니다.CUPS에는 Foomatic-rip 필터가 포함되어 있습니다. 이 필터는 이전에 위험도가 높고 악용 가능한 구성 요소였던 이력이 있는 실행 파일입니다.이 구성 요소와 관련된 CVE는 2011년으로 거슬러 올라갑니다. Foomatic-rip을 활용하여 OS 명령을 실행할 수 있다는 것이 확인되었지만, 이 문제를 해결하면 안정성 문제가 발생하고 많은 구형 프린터의 지원이 손실될 수 있습니다.이는 극복하기 복잡한 문제입니다.
- 위협 행위자가 공격을 시작합니다.
- CVE-2024-47176: Cups-browsed <= 2.0.1은 INADR_ANY를 사용하여 UDP 포트 631에 바인딩되므로 취약합니다. 즉, 모든 소스에서 수신한 모든 패킷을 신뢰한다는 의미입니다.이를 통해 인증되지 않은 원격 공격자가 조작된 IPP URL (공격자가 제어하는 IPP 서버를 가리킴) 이 포함된 악의적인 UDP 패킷을 전송하여 취약점을 트리거할 수 있습니다.피해자의 컴퓨터는 이제 새 프린터에 연결 중이라고 생각하고 프린터 특성을 묻는 요청을 보냅니다.
- 피해자 시스템이 프린터 속성을 처리합니다.
- CVE-2024-47076: libcupsfilters <= 2.1b1은 CFGetPrinterAttributes5에 취약점이 있습니다. 이 취약점은 IPP 서버에서 반환된 IPP 속성을 제대로 검증하거나 삭제하지 못합니다.Cups-browsed가 패킷을 처리할 때 공격자가 보낸 악성 속성을 읽도록 속일 수 있습니다.
- 피해자 시스템이 공격자-컨트롤러 IPP 서버에 연결
- CVE-2024-47175: PPDCreatePPDFromIPP2 함수의 libppd <= 2.1b1b1은 IPP 특성을 임시 PPD (포스트스크립트 프린터 설명) 파일에 저장할 때 IPP 특성을 제대로 검증하거나 삭제하지 않습니다.이를 통해 공격자는 FoomatiCripCommandline 지시문을 비롯한 임의의 데이터를 PPD 파일에 주입할 수 있습니다. 이 지시어는 인쇄 시스템에서 나중에 실행할 수 있습니다.
- 피해자 시스템이 인쇄 작업을 시작하고 공격자의 코드가 실행됩니다.
CVE-2024-47177: cups-filters <= 2.0.1은 foomatic-rip 필터가 FoomatiCripCommandline 지시문을 통해 임의의 명령을 실행하여 공격자가 컵스에서 탐색한 프로세스처럼 명령을 실행할 수 있기 때문에 취약합니다.공격자는 피해자의 컴퓨터가 인쇄 작업을 시작할 때까지 기다립니다.이런 일이 발생하는 순간 공격자의 악성 코드가 실행됩니다 (원격 코드 실행).
RCE 위험을 어떻게 완화할 수 있을까요?
CUPS를 비즈니스 운영의 일부로 활용하는 회사의 경우 다음의 권장 개선 조언을 따라야 합니다. 이블 소켓 과 레드햇.여기에는 긴급 수준의 우선 순위로 보안 패치를 적용하는 것이 포함되며 이에 국한되지 않습니다.
커맨드 인젝션에 대한 일반적인 내용은 다음을 참조하십시오. 종합 가이드.
더 많은 무료 코딩 가이드라인에 관심이 있다면 확인해 보세요. 시큐어 코드 코치 보안 코딩 모범 사례를 최신 상태로 유지할 수 있도록 도와줍니다.
아래 링크를 클릭하고 이 리소스의 PDF를 다운로드하십시오.
Secure Code Warrior는 전체 소프트웨어 개발 라이프사이클에서 코드를 보호하고 사이버 보안을 최우선으로 생각하는 문화를 조성할 수 있도록 조직을 위해 여기 있습니다.AppSec 관리자, 개발자, CISO 또는 보안 관련 누구든 관계없이 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 도와드릴 수 있습니다.
보고서 보기데모 예약
Laura Verheyde is a software developer at Secure Code Warrior focused on researching vulnerabilities and creating content for Missions and Coding labs.
지난 몇 년 동안 심각도가 높은 여러 취약점이 시스템에 다양한 방식으로 영향을 미친 것으로 알려지면서 Linux 사용자는 최근 어려움을 겪고 있습니다.보안 연구원들이 이제 풀어야 할 또 다른 취약점이 있는데, 이 취약점은 모두 강력한 원격 코드 실행 (RCE) 의 잠재적 경로가 있는 GNU/Linux 시스템을 대상으로 하는 공통 UNIX 인쇄 시스템 (CUPS) 기능과 관련이 있습니다.
2024년 9월 27일, evilsocket.net의 시몬 마르가리텔리 게시된 중요 정보 CUPS에서 악용될 수 있는 몇 가지 취약점에 대한 내용이었으며, 이후 그 중 4개에 CVE가 할당되었습니다.이 수치는 증가할 수 있지만, 이 글을 쓰는 시점에서 보안 커뮤니티는 이러한 발견의 실제 심각도에 대해 논쟁을 벌이고 있습니다.CVE 중 하나이긴 하지만 CVE-2024-47177는 현재 MITRE에서 제공하는 임계 심각도 등급이 9.1입니다. 이 명령 삽입 결함을 성공적으로 조작하려면 CUPS 서비스가 활성화된 서버가 필요하며, 추가로 UDP 포트 631 또는 DNS-SD에 대한 액세스도 필요합니다. 레드햇 하지만 CUPS를 다른 포트에 다시 매핑할 수 있다는 점에 유의하십시오.
Margaritelli가 사건을 종합적으로 분석한 결과 커뮤니티의 의견 차이에도 불구하고 무시해서는 안 되는 교활하고 복잡한 일련의 공격이 드러납니다.이를 통해 위협 행위자가 충분히 결정되고 잘못된 코딩 패턴으로 인해 작은 기회가 열려 있었다면 겉보기에 무해해 보이는 종속성이 심각하게 악용될 수 있다는 교훈을 얻을 수 있습니다.
CUPS 시나리오는 많은 개발자 및 AppSec 전문가가 이전에 경험했던 것과는 약간 다릅니다. 따라서 그 과정에서 여러분의 기술을 살펴보고 테스트해 보겠습니다.
취약점: CUPS를 통한 원격 코드 실행 (RCE)
더 이빌소켓 블로그 이러한 악용에 대한 타의 추종을 불허하는 철저한 배경을 제공합니다. 이 자료는 우리가 계속해서 면밀히 추적할 것입니다.Margaritelli는 자신의 기사에서 익명의 소식통도 인용했는데, 그는 Linux의 일반적인 보안 견고성에 대해 낙관적이지 않은 것으로 보입니다.
”일반적인 보안 관점에서 볼 때, 오늘날의 전체 Linux 시스템은 악용되기를 기다리는 끝없는 절망적인 보안 허점에 불과합니다.”
이는 오픈 소스 환경에서 여전히 만연하고 있는 내재된 보안 위험을 상기시켜 줍니다. 글로벌 개발 커뮤니티에서 보안 인식과 보안 코딩 기술을 강화해야 할 절실한 필요성은 말할 것도 없습니다.
CVE를 살펴보겠습니다.
취약점 체인은 널리 퍼져 있으며 현재 다음 패키지의 모든 최신 및 이전 버전에 영향을 미칩니다.
- 디스트로텍/컵-필터
- 오픈 프린팅/컵 - 필터
- 컵스 브라우징
- 립컵 필터
- libppd
CUPS는 20년이 넘는 기간 동안 UNIX 및 Linux 운영 체제의 레거시 구성 요소였습니다.인쇄 서비스 종속성으로 기능하기 때문에 네트워크 요청을 신속하게 수행할 수 있어 RCE급 취약성의 주요 표적이 되고 있습니다.
그러나 이 경우 공격이 결합되어 성공적인 결과를 제공하는 방식에는 어느 정도 독창성이 있습니다.이는 근본적으로 인증되지 않고 탐지되지 않은 공격자가 새로 추가된 프린터의 기능을 설명하는 데 사용되는 파일인 “PPD (PostScript Printer Description)" 파일에 명령 삽입을 유발할 수 있는 명령을 수정하는 것 외에도 IPP (인터넷 인쇄 프로토콜) URL을 악성 URL로 대체할 수 있는 능력입니다.이로 인해 인쇄 작업이 활성화되면 명령 실행 공격이 발생하며, 이는 CUPS 구성 요소 내의 입력 유효성 검사 부족에 의존합니다.
게다가 이 특정 취약점을 수정하면 Evilsocket과 같은 양날의 검이 만들어집니다. 지적합니다.CUPS에는 Foomatic-rip 필터가 포함되어 있습니다. 이 필터는 이전에 위험도가 높고 악용 가능한 구성 요소였던 이력이 있는 실행 파일입니다.이 구성 요소와 관련된 CVE는 2011년으로 거슬러 올라갑니다. Foomatic-rip을 활용하여 OS 명령을 실행할 수 있다는 것이 확인되었지만, 이 문제를 해결하면 안정성 문제가 발생하고 많은 구형 프린터의 지원이 손실될 수 있습니다.이는 극복하기 복잡한 문제입니다.
- 위협 행위자가 공격을 시작합니다.
- CVE-2024-47176: Cups-browsed <= 2.0.1은 INADR_ANY를 사용하여 UDP 포트 631에 바인딩되므로 취약합니다. 즉, 모든 소스에서 수신한 모든 패킷을 신뢰한다는 의미입니다.이를 통해 인증되지 않은 원격 공격자가 조작된 IPP URL (공격자가 제어하는 IPP 서버를 가리킴) 이 포함된 악의적인 UDP 패킷을 전송하여 취약점을 트리거할 수 있습니다.피해자의 컴퓨터는 이제 새 프린터에 연결 중이라고 생각하고 프린터 특성을 묻는 요청을 보냅니다.
- 피해자 시스템이 프린터 속성을 처리합니다.
- CVE-2024-47076: libcupsfilters <= 2.1b1은 CFGetPrinterAttributes5에 취약점이 있습니다. 이 취약점은 IPP 서버에서 반환된 IPP 속성을 제대로 검증하거나 삭제하지 못합니다.Cups-browsed가 패킷을 처리할 때 공격자가 보낸 악성 속성을 읽도록 속일 수 있습니다.
- 피해자 시스템이 공격자-컨트롤러 IPP 서버에 연결
- CVE-2024-47175: PPDCreatePPDFromIPP2 함수의 libppd <= 2.1b1b1은 IPP 특성을 임시 PPD (포스트스크립트 프린터 설명) 파일에 저장할 때 IPP 특성을 제대로 검증하거나 삭제하지 않습니다.이를 통해 공격자는 FoomatiCripCommandline 지시문을 비롯한 임의의 데이터를 PPD 파일에 주입할 수 있습니다. 이 지시어는 인쇄 시스템에서 나중에 실행할 수 있습니다.
- 피해자 시스템이 인쇄 작업을 시작하고 공격자의 코드가 실행됩니다.
CVE-2024-47177: cups-filters <= 2.0.1은 foomatic-rip 필터가 FoomatiCripCommandline 지시문을 통해 임의의 명령을 실행하여 공격자가 컵스에서 탐색한 프로세스처럼 명령을 실행할 수 있기 때문에 취약합니다.공격자는 피해자의 컴퓨터가 인쇄 작업을 시작할 때까지 기다립니다.이런 일이 발생하는 순간 공격자의 악성 코드가 실행됩니다 (원격 코드 실행).
RCE 위험을 어떻게 완화할 수 있을까요?
CUPS를 비즈니스 운영의 일부로 활용하는 회사의 경우 다음의 권장 개선 조언을 따라야 합니다. 이블 소켓 과 레드햇.여기에는 긴급 수준의 우선 순위로 보안 패치를 적용하는 것이 포함되며 이에 국한되지 않습니다.
커맨드 인젝션에 대한 일반적인 내용은 다음을 참조하십시오. 종합 가이드.
더 많은 무료 코딩 가이드라인에 관심이 있다면 확인해 보세요. 시큐어 코드 코치 보안 코딩 모범 사례를 최신 상태로 유지할 수 있도록 도와줍니다.
시작하는 데 도움이 되는 리소스
%20(1).avif)
.avif)
Threat Modeling with AI: Turning Every Developer into a Threat Modeler
Walk away better equipped to help developers combine threat modeling ideas and techniques with the AI tools they're already using to strengthen security, improve collaboration, and build more resilient software from the start.
