cups-browsed 远程命令执行漏洞来袭,网御星云提供优选解决方案
CUPS(Common UNIX Printing System)是 Linux 系统上使用最广泛的打印系统,其组件cups-browsed包含网络打印功能,包括但不限于自动发现打印服务和共享打印机,受影响版本中未对数据包进行验证,攻击者可利用FoomaticRIPCommandLine实现远程命令执行。
2024年9月,网御星云监控到CVE-2024-47176远程命令执行漏洞,该漏洞CVSS3.1目前评分为8.3分,综合评级为“高危”。
漏洞复现截图
影响版本
cups-browsed <= 2.0.1
检测方法
查看cups-browsed运行状态
systemctl status cups-browsed
如果显示“active (running)”则受影响
修复建议
一、官方修复方案
暂无官方修复方案
二、临时规避方案
停止并禁用cups-browsed
sudo systemctl stop cups-browsed
sudo systemctl disable cups-browsed
三、网御星云方案
1.网御终端产品方案
网御终端产品提供漏洞专项验证检查能力,可对漏洞驻留终端进行全网同步验证,监控主机异常外连,预防漏洞攻击风险。
2.网御检测类产品方案
网御入侵检测系统(IDS)、网御超融合检测探针(CSP)、网御威胁分析一体机(TAR)、网御入侵防护系统(IPS)升级到最新版本事件库即可有效检测或防护该漏洞造成的攻击。
事件库下载地址:
https://leadsec.download.venuscloud.cn/
3.网御漏扫产品方案
(1)“网御漏洞扫描系统V6.0”产品已支持对该漏洞进行扫描。
(2)网御漏洞扫描系统608X系列版本已支持对该漏洞进行扫描。
4.网御资产与脆弱性管理平台产品方案
网御资产与脆弱性管理平台实时采集并更新情报信息,对入库资产漏洞cups-browsed 远程命令执行漏洞(CVE-2024-47176)进行管理。
5.网御安全管理和态势感知平台产品方案
用户可以通过网御安全管理和态势感知平台进行关联策略配置,结合实际环境中系统日志和安全设备的告警信息进行持续监控,从而发现“cups-browsed 远程命令执行漏洞(CVE-2024-47176)”的漏洞利用攻击行为。
1)在平台中,通过脆弱性发现功能针对“cups-browsed 远程命令执行漏洞(CVE-2024-47176)”执行漏洞扫描任务,排查管理网络中受此漏洞影响的重要资产。
2)平台“关联分析”模块中,添加“L2_cups-browsed远程命令执行漏洞”,通过网御检测设备、目标主机系统等设备的告警日志,发现外部攻击行为。
通过分析规则自动将“L2_cups-browsed远程命令执行漏洞”漏洞利用的可疑行为源地址添加到观察列表“高风险连接”中,作为内部情报数据使用。
3)添加“L3_cups-browsed远程命令执行漏洞”,条件日志名称等于或包含“L2_cups-browsed远程命令执行漏洞”,攻击结果等于“攻击成功”,目的地址引用资产漏洞或源地址匹配威胁情报,从而提升关联规则的置信度。
