Sysdig

SCSK株式会社

ブログ

HOME ブログ CUPSにおけるリモートコード実行エクスプロイトの検知と緩和

CUPSにおけるリモートコード実行エクスプロイトの検知と緩和

2024年9月26日、Common Unix Printing System(CUPS)に関する複数の脆弱性が報告されました。4つのCVE(CVE-2024-47176、CVE-2024-47076、CVE-2024-47175、CVE-2024-47177)が確認され、3つは高リスク、1つはクリティカルと評価されています。これらの脆弱性を悪用されると、リモートの攻撃者が任意のコマンドを実行できる可能性があります。

脆弱性の中心には「cups-browsed」プロセスがあり、これはデフォルトでUDPポート631を通じて公開されており、認証なしにアクセス可能です。これにより、攻撃者は特定のUDPパケットを送り、エクスプロイトを実行できます。具体的には、CVE-2024-47176が認証なしのアクセスを許し、他のCVEがデータ検証の欠如を引き起こします。

このエクスプロイトは異常な動作を示すため、Falcoを用いた検知が可能です。Sysdig Secureは、エクスプロイト後の活動を検知するルールを提供しています。脆弱性を管理するために、CUPSを停止し、パッチを適用することが推奨されます。また、ファイアウォールでのアクセス制御も効果的です。最終的に、リアルタイムの脅威検知と迅速な対応が必要とされています。

詳細はこちら
ページトップへ