The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Уязвимость в CUPS оказалась пригодна для усиления трафика при DDoS-атаках

07.10.2024 11:28

Группа, отвечающая за безопасность сети доставки контента Akamai, выявила дополнительный вектор атаки на процесс cups-browsed, помимо его использования в качестве одного из звеньев в эксплоите, приводящем к выполнению кода в системе. Через отправку запросов к процессу cups-browsed, без ограничений принимающему соединения на 631 порту, можно добиться отправки данных на другой хост, размер которых будет превышать исходный запрос до 600 раз. Для сравнения коэффициент усиления для memcached может достигать 10-50 тысяч раз, NTP - 556 раз, DNS - 28-54, RIPv2 - 21, SNMPv2 - 6.

Подобная особенность позволяет использовать системы с cups-browsed в качестве усилителя трафика при осуществлении DDoS-атак. Метод атаки с использованием усилителя трафика основан на том, что запросы с участвующих в DDoS-атаке компьютеров направляются не напрямую на систему жертвы, а через промежуточный усилитель трафика. В ходе сканирования сети было выявлено более 198 тысяч уязвимых систем с CUPS, из которых 34% (58 тысяч систем) оказались пригодны для усиления трафика в DDoS-атаке.

В отличии от методов усиления трафика, требующих отправки UDP-пакетов с подставным обратным адресом жертвы, использование cups-browsed позволяет обойтись без спуфинга. Cервис cups-browsed имеет штатную возможность загрузки PPD-файла с произвольного сервера в ответ на неавторизированный внешний запрос, в ходе которого клиент передаёт URL, а cups-browsed пытается загрузить PPD-файл с указанного сервера.

При отправке запроса на загрузку PPD-файла в cups-browsed можно добиться прикрепление к значению "IPP URI" добавочного заполнения, которое может достигать 989 байт. При этом в инициируемом cups-browsed обращении значение "IPP URI" дублируется - один раз в HTTP-заголовке, а второй раз внутри тела POST-запроса, а запросы циклично повторяются после неудачных попыток загрузки и возвращения сервером 404 кода ошибки.

На 62% (35900) проверенных системах cups-browsed отправил как минимум 10 TCP/IPP/HTTP-запросов к атакуемой системе в ответ на один исходный UDP-запрос. В среднем для 58000 подверженных проблеме систем число повторных обращений составило 45. При оптимальном сценарии отправка одного 30-байтового исходного запроса при 45 повторных попытках загрузки приведёт к отправке на целевую систему 18000 байт данных, т.е. будет наблюдаться усиление трафика в 600 раз. В наихудшем сценарии усиление составляет 108 раз.

Дополнительно можно отметить об отражении компанией Cloudflare рекордной DDoS-атаки, в результате которой на систему жертвы был направлен поток в 3.8 терабит в секунду (2.14 миллиардов пакетов в секунду). Отмечается, что атака была организована с использованием большого числа скомпрометированных домашних маршрутизаторов Asus и Mikrotik, а также DVR-устройств и web-серверов, взломанных среди прочего с использованием относительно свежих уязвимостей.

  1. Главная ссылка к новости (https://www.openwall.com/lists...)
  2. OpenNews: Удалённо эксплуатируемые уязвимости в сервере печати CUPS
  3. OpenNews: Уязвимость в cups-filters, позволяющая выполнить код на сервере
  4. OpenNews: Атака на некоторые протоколы на основе UDP, приводящая к зацикливанию обмена пакетами
  5. OpenNews: Уязвимость в UPnP, подходящая для усиления DDoS-атак и сканирования внутренней сети
  6. OpenNews: Уязвимость в протоколе HTTP/2, задействованная в крупнейшей DDoS-атаке
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/62008-cups
Ключевые слова: cups, ddos
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (24) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 13:17, 07/10/2024 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
    		• +1 +/
     

     ....ответы скрыты (8)

  • 1.2, Аноним (-), 13:18, 07/10/2024 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    > т.е. будет наблюдаться усиление трафика в 600 раз.
    > В наихудшем сценарии усиление составляет 108 раз.

    В наихудшем для кого?))

     
     
  • 2.4, Аноним (12), 13:21, 07/10/2024 [^] [^^] [^^^] [ответить]  
    		• +/
    В наихудшем для компании Майки софт. Решения которого показали свою полную безопасность несмотря на все визги про вирусы для шинды.  
     
     
  • 3.17, Аноним (12), 13:58, 07/10/2024 Скрыто ботом-модератором     [к модератору]
    		• –1 +/
     
  • 3.18, Аноним (18), 14:52, 07/10/2024 [^] [^^] [^^^] [ответить]  
    		• +/
    > Майки софт. Решения которого показали свою полную безопасность

    Для атакующих?

     

  • 1.13, mos87 (ok), 13:54, 07/10/2024 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +2 +/
    Зачем выставлять browsed в Интернет?
     
     
  • 2.15, Аноним (12), 13:56, 07/10/2024 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    Зачем не выставлять, когда можно выставить?
     

  • 1.19, Аноним (-), 15:17, 07/10/2024 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
    		• +/
     
  • 1.20, Аноним (20), 15:39, 07/10/2024 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Вот так маленький кусочек криво написанного кода в утилите которой "оказваются пользуются почти все" может попортить настроение куче народу, у которых сайты не будут грузиться.
     
     
  • 2.21, Массоны Рептилоиды (?), 16:13, 07/10/2024 [^] [^^] [^^^] [ответить]  
    		• +/
    Вот так маленький кусочек криво написанного кода
    В утилите которой "оказваются пользуются почти все"
    Может попортить настроение куче народа,
    У которых сайты будут в 3.14зде.
     

  • 1.22, Аноним (22), 16:37, 07/10/2024 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Интересно, что от такого рода уязвимостей безопастные языки не помогут. Помогут только ИИ-инструменты проверки безопасности кода, которые сейчас быстро развиваются.
     
     
  • 2.24, Аноним (24), 17:12, 07/10/2024 [^] [^^] [^^^] [ответить]  
    		• +/
    От дебилoв не спасут ни безопасные ЯП, ни ИИ-инструменты. Только резервация с принудительной стеризизацией.
     
  • 2.25, Аноним (-), 17:13, 07/10/2024 [^] [^^] [^^^] [ответить]  
    		• +/
    Да и нет.
    Если программисту приходится писать такие конструкции
    else if ((model = strchr(make, ' ')) != NULL)
        *model++ = '\0';
    то значит что рабоьа со строками в языке сделана на отшибись.

    И тут не нужен какой-то "безопастный язык".
    Тут просто достаточно хорошего, с нормальной std в которой сплит строки не нужно велосипедить в каждом втором проекте.

    ps в ИИ не верю, тк его тренируют на кодах которые сейчас существуют.
    Думаю он так же будет кастовать все что угодно в void* и класть на типы)

     
     
  • 3.26, Аноним (26), 17:20, 07/10/2024 [^] [^^] [^^^] [ответить]  
    		• +/
    Не надо путать язык со стандартной библиотекой.
    И, да, strtok_s.
     

  • 1.23, Аноним (24), 17:09, 07/10/2024 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    >cups-browsed имеет штатную возможность загрузки PPD-файла с произвольного сервера в ответ на неавторизированный внешний запрос

    Охренеть! Вот это архитектура сервиса!

     
  • 1.27, YetAnotherOnanym (ok), 17:25, 07/10/2024 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    > 3.8 терабит в секунду (2.14 миллиардов пакетов в секунду)

    Мало. Я бы этим ганд... предохранителям ещё десять раз по столько же добавил.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:

    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей     		Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру