Los ataques DDoS pueden ser potenciados por una vulnerabilidad en CUPS.
La explotación de la vulnerabilidad recientemente descubierta en CUPS no se limita únicamente al RCE.
Se ha descubierto recientemente una vulnerabilidad de seguridad en el sistema de impresión Common UNIX Printing System (CUPS) que podría ser aún más grave de lo que se pensaba inicialmente, ya que se ha alegado que podría ser utilizada para amplificar ataques de denegación de servicio distribuido (DDoS). Investigadores de Akamai han indicado que estos ataques pueden tener un factor de amplificación de hasta 600 veces, lo que representa una preocupación considerable para las víctimas.
CUPS es un sistema de impresión de código abierto desarrollado por Apple para sistemas operativos similares a Unix, como Linux y macOS. Su función principal es gestionar trabajos de impresión y colas, soportando impresoras locales y de red. Utiliza el Protocolo de Impresión por Internet (IPP) como su protocolo principal, facilitando la detección de impresoras y la presentación de trabajos a través de redes. Además, incluye una interfaz web que permite la gestión de impresoras, trabajos de impresión y configuraciones.
Recientemente, se identificaron cuatro vulnerabilidades en CUPS: CVE-2024-47076, CVE-2024-47175, CVE-2024-47176 y CVE-2024-47177. Cuando estas se combinan, los atacantes pueden crear impresoras falsas y maliciosas que CUPS puede detectar. Para llevar a cabo el ataque, solo necesitan enviar un paquete especialmente diseñado para engañar al servidor CUPS. En el momento en que un usuario intenta imprimir algo utilizando este dispositivo malicioso, un comando perjudicial se ejecuta localmente en su equipo.
Los expertos de Akamai informan que cada paquete enviado a los servidores CUPS vulnerables provoca que generen solicitudes IPP/HTTP más grandes, dirigiéndose hacia el dispositivo objetivo. Esto resulta en un consumo elevado tanto de recursos de CPU como de ancho de banda, siguiendo el patrón típico de un ataque DDoS. Su estudio reveló que hay casi 200,000 dispositivos expuestos en internet, de los cuales cerca de 60,000 podrían ser utilizados en campañas de DDoS.
En situaciones extremas, los servidores CUPS pueden entrar en un bucle infinito de solicitudes. "En el peor de los casos, observamos lo que parecía ser un flujo interminable de intentos de conexión y solicitudes resultantes de una sola indagación. Estos flujos parecen no tener fin y continuarán hasta que el daemon sea terminado o reiniciado," explicaron los especialistas de Akamai. "Muchos de estos sistemas que observamos en nuestras pruebas establecieron miles de solicitudes, enviándolas a nuestra infraestructura de pruebas. En algunos casos, este comportamiento continuó indefinidamente."
La posibilidad de llevar a cabo un ataque de amplificación DDoS en cuestión de minutos y con un costo prácticamente nulo es alarmante. Se aconseja a los equipos de TI que apliquen las correcciones para las vulnerabilidades mencionadas lo antes posible.