CUPSにおけるリモートコード実行エクスプロイトの検知と緩和
2024年9月26日、Common Unix Printing System(CUPS)に関する複数の脆弱性が報告されました。4つのCVE(CVE-2024-47176、CVE-2024-47076、CVE-2024-47175、CVE-2024-47177)が確認され、3つは高リスク、1つはクリティカルと評価されています。これらの脆弱性を悪用されると、リモートの攻撃者が任意のコマンドを実行できる可能性があります。
脆弱性の中心には「cups-browsed」プロセスがあり、これはデフォルトでUDPポート631を通じて公開されており、認証なしにアクセス可能です。これにより、攻撃者は特定のUDPパケットを送り、エクスプロイトを実行できます。具体的には、CVE-2024-47176が認証なしのアクセスを許し、他のCVEがデータ検証の欠如を引き起こします。
このエクスプロイトは異常な動作を示すため、Falcoを用いた検知が可能です。Sysdig Secureは、エクスプロイト後の活動を検知するルールを提供しています。脆弱性を管理するために、CUPSを停止し、パッチを適用することが推奨されます。また、ファイアウォールでのアクセス制御も効果的です。最終的に、リアルタイムの脅威検知と迅速な対応が必要とされています。
詳細はこちら