9 月 23 日,有开发者在 X 上披露了一批即将编号的远程任意代码执行高危漏洞,评分 9.9/10:
昨天,这些漏洞已经正式编号为 CVE-2024-47176、CVE-2024-47076、CVE-2024-47175 和 CVE-2024-47177。
1. 攻击手段
简单来说,是一套基于 CUPS(Linux 上最流行的打印机服务)的攻击链,完全利用后即可远程执行任何命令。
坏消息是,很多发行版为了用户连接打印机方便,会默认启用这些服务,无论用户是否真的在 Linux 下打印过东西。
蓝点网:研究人员在公网上进行扫描时轻松获得数十万台设备的连接,峰值时有 200K~300K 个并发设备,也就是仅从扫描数据来看公网上受影响的 Linux 系统可能就超过百万台。
2. 缓解方案
- 如果你不需要打印,直接删除
cups-browsed包或停止cups-browsed服务; - 立刻升级
cups-browsed为最新版本。但截至发帖,修复版(>2.0.1)尚未发布,因此升级是无效的,请等待后续安全更新; - 用防火墙阻止所有通过 UDP 到 631 端口的流量和所有 DNS-SD 协议流量。
如果可能,还建议删除 zeroconf、avahi、bonjour 等零配置服务。