Vulnerabilidade no Linux que permite execução remota de código é menos grave do que o esperado
Recentemente, detalhes de uma vulnerabilidade não corrigida que prometia ser uma séria ameaça a muitos sistemas Linux foram divulgados. O pesquisador Simone Margaritelli havia anunciado que revelaria em menos de duas semanas, uma falha de execução remota de código (RCE) que afetava todos os sistemas GNU/Linux, com uma pontuação de 9,9 no CVSS, sugerindo um impacto crítico. No entanto, ao contrário das expectativas iniciais, essa falha se mostrou menos perigosa do que o previsto, embora ainda represente um risco para certos cenários.
O contexto da vulnerabilidade
A vulnerabilidade em questão estava relacionada ao Common UNIX Printing System (CUPS), um sistema de código aberto amplamente utilizado para gerenciamento de impressões em sistemas Linux e UNIX-like. Margaritelli descobriu várias vulnerabilidades dentro do CUPS, agora identificadas com os códigos CVE-2024-47076, CVE-2024-47175, CVE-2024-47176 e CVE-2024-47177. Essas falhas envolvem problemas de sanitização de atributos do Protocolo de Impressão de Internet (IPP), execução de comandos e questões de confiança em pacotes.
Uma das principais preocupações era a possibilidade de um invasor remoto sem autenticação explorar essas vulnerabilidades. Ao substituir silenciosamente URLs do IPP por URLs maliciosos um ataque bem-sucedido poderia resultar na execução de comandos preparados pelo invasor quando um trabalho de impressão fosse iniciado. Dessa forma, informações sensíveis poderiam ser comprometidas ou até mesmo sistemas de produção críticos poderiam ser danificados.
Impacto e exploração limitada
Apesar do alarme inicial, algumas considerações técnicas atenuaram a gravidade da situação. Primeiramente, a pontuação CVSS da vulnerabilidade foi reavaliada para uma classificação de “alta” gravidade, ao invés de “crítica”, o que sugere um impacto mais moderado. Além disso, a Red Hat observou que em configurações padrão os pacotes afetados não são vulneráveis. A exploração da falha exige que o serviço vulnerável seja manualmente ativado, que o invasor tenha acesso a um servidor vulnerável e que o alvo inicie um trabalho de impressão em um ambiente comprometido.
A análise realizada pela empresa Ontinue concluiu que a aplicabilidade dessa vulnerabilidade no mundo real é baixa, principalmente em sistemas onde a impressão não é frequente. Isso se deve ao fato de que o invasor precisaria de acesso local à rede (LAN) e ao sistema alvo enquanto ele estivesse realizando uma impressão, o que limita significativamente as oportunidades de exploração.
Além disso, Benjamin Harris, CEO da WatchTowr, comentou que os pacotes relacionados ao CUPS são mais amplamente utilizados em edições de desktop do Linux, como o Ubuntu Desktop e não nas versões de servidor, que são mais comumente expostas à Internet. Portanto, a chance de um ataque em larga escala é muito menor do que em vulnerabilidades amplamente exploradas no passado, como MS08-067, ExternalBlue ou HeartBleed.
Medidas de mitigação
Embora ainda não tenham sido disponibilizados patches para corrigir as falhas, há algumas medidas simples que podem ser tomadas para mitigar os riscos. Para ambientes onde a impressão não é necessária, os administradores de sistemas podem desativar o serviço vulnerável com dois comandos, evitando que ele reinicie após uma reinicialização do sistema. Além disso, o bloqueio do tráfego na porta UDP 631, associada ao CUPS, e do tráfego DNS-SD pode ser uma maneira eficaz de prevenir ataques.
A empresa Palo Alto Networks informou para seus clientes que seus produtos e serviços de nuvem não são afetados por essas vulnerabilidades, uma vez que não incluem pacotes CUPS em suas soluções.
Considerações finais
Embora inicialmente tenha sido considerada uma ameaça de alta criticidade, as vulnerabilidades relacionadas ao CUPS nos sistemas Linux e UNIX-like se mostraram menos graves do que o esperado. A exploração dessas falhas exige condições específicas e a maioria dos sistemas não está exposta a esse tipo de ataque em configurações padrão. No entanto, é fundamental que as organizações afetadas tomem as medidas necessárias para mitigar os riscos e monitorar atualizações de segurança que possam surgir.
A segurança em sistemas de impressão pode não parecer um ponto crítico à primeira vista, mas vulnerabilidades como essas demonstram a importância de uma abordagem cuidadosa, mesmo para serviços considerados secundários. Com a adoção de boas práticas de segurança e a conscientização contínua, os administradores podem manter seus sistemas protegidos contra essas e outras ameaças emergentes.
