Une vulnérabilité récemment révélée dans le système d’impression open source CUPS (Common Unix Printing System) peut être exploitée par des acteurs malveillants pour lancer des attaques par déni de service distribué (DDoS) avec un facteur d’amplification de 600x.
Comme l’ont découvert les chercheurs en sécurité d’Akamai, une faille de sécurité CVE-2024-47176 dans le démon parcouru par cups qui peut être chaînée avec trois autres bogues pour obtenir l’exécution de code à distance sur des systèmes de type Unix via un seul paquet UDP peut également être exploitée pour amplifier les attaques DDoS.
La vulnérabilité est déclenchée lorsqu’un attaquant envoie un paquet spécialement conçu, incitant un serveur CUPS à traiter une cible comme une imprimante à ajouter.
Chaque paquet envoyé aux serveurs CUPS vulnérables les invite à générer des requêtes IPP/HTTP plus importantes destinées au périphérique ciblé. Cela affecte à la fois la cible et le serveur CUPS, consommant leur bande passante et leurs ressources CPU.
Démarre avec un seul paquet UDP malveillant
Pour lancer une telle attaque, un acteur malveillant n’a qu’à envoyer un seul paquet à un service CUPS exposé et vulnérable exposé en ligne. Les chercheurs d’Akamai estiment qu’environ 58 000 serveurs, sur plus de 198 000 appareils exposés, pourraient être recrutés pour des attaques DDoS.
De plus, des centaines d’appareils vulnérables ont démontré une « boucle infinie » de requêtes, certains serveurs CUPS envoyant à plusieurs reprises des requêtes après avoir reçu une sonde initiale et certains serveurs entrant dans une boucle sans fin en réponse à des erreurs HTTP/404 spécifiques.
Bon nombre de ces machines vulnérables exécutaient des versions obsolètes de CUPS (remontant à 2007), qui sont des cibles faciles pour les cybercriminels qui peuvent les exploiter pour créer des botnets via la chaîne RCE ou les utiliser pour l’amplification DDoS.
« Dans le pire des cas, nous avons observé ce qui semblait être un flux infini de tentatives de connexions et de demandes à la suite d’une seule sonde. Ces flux semblent sans fin et se poursuivront jusqu’à ce que le démon soit tué ou redémarré », ont déclaré les chercheurs d’Akamai.
« Bon nombre de ces systèmes que nous avons observés lors des tests ont établi des milliers de demandes, les envoyant à notre infrastructure de test. Dans certains cas, ce comportement semblait se poursuivre indéfiniment. »
Secondes nécessaires pour réussir une attaque
Cette attaque d’amplification DDoS nécessite également un minimum de ressources et peu de temps pour s’exécuter. Akamai avertit qu’un acteur menaçant pourrait facilement prendre le contrôle de chaque service CUPS exposé sur Internet en quelques secondes.
Il est conseillé aux administrateurs de déployer les correctifs CVE-2024-47176 ou de désactiver l’exécution du service parcouru par cups pour bloquer les attaques potentielles afin d’atténuer le risque que leurs serveurs soient ajoutés à un botnet ou utilisés dans des attaques DDoS.
« Les attaques DDoS continuent d’être un vecteur d’attaque viable utilisé pour harceler et perturber les victimes sur Internet, des grandes industries et des gouvernements aux petits créateurs de contenu, aux boutiques en ligne et aux joueurs », ont averti les chercheurs d’Akamai.
« Bien que l’analyse initiale se soit concentrée sur le RCE, qui pourrait avoir un résultat plus grave, l’amplification DDoS est également facilement abusée dans ce cas. »
Comme Cloudflare l’a révélé cette semaine, ses systèmes de défense DDoS devaient protéger les clients contre une vague d’attaques DDoS L3/4 hyper-volumétriques atteignant 3,8 térabits par seconde (Tbit / s), la plus grande attaque de ce type jamais enregistrée.