OpenPrinting CUPS 취약점에 대한 Red Hat의 대응: CVE-2024-47076, CVE-2024-47175, CVE-2024-47176, CVE-2024-47177

TL;DR: : Red Hat Enterprise Linux(RHEL)의 모든 버전은 CVE-2024-47076, CVE-2024-47175, CVE-2024-47176, CVE-2024-47177의 영향을 받지만 기본 설정을 사용하는 경우 이러한 보안 취약점에 취약하지 않음

Red Hat은 RHEL을 포함한 대부분의 최신 Linux 배포판에 널리 퍼져 있는 오픈 소스 인쇄 시스템인 OpenPrinting CUPS 내의 여러 취약점(CVE-2024-47076, CVE-2024-47175, CVE-2024-47176 및 CVE-2024-47177)에 대해 인지하고 있습니다. 특히, CUPS는 Linux 배포판용 프린터를 관리, 검색 및 공유하는 도구를 제공합니다. 공격자는 이러한 취약점 세트를 결합하여 원격 코드를 실행할 수 있으며, 이로 인해 중요한 데이터가 도난당하거나 중요한 프로덕션 시스템이 손상될 수 있습니다.

Red Hat은 이러한 문제의 심각도를 '중요'로 평가합니다. 모든 버전의 RHEL이 영향을 받지만, 영향을 받는 소프트웨어 패키지의 기본 설정에서는 이러한 취약점으로 인해 발생할 수 있는 보안 취약점 없습니다. 현재 이러한 취약점에 4개의 CVE가 할당되어 있지만, 업스트림 커뮤니티와 문제를 발견한 연구원과 함께 아직 정확한 숫자를 조율 중에 있습니다.

보안 취약점의 악용

이러한 취약점은 다음과 같은 일련의 이벤트를 통해 악용될 수 있습니다.

1. cups-browsed 서비스가 수동으로 활성화되었거나 시작되었습니다.
2. 공격자는 다음과 같은 취약한 서버에 액세스할 수 있습니다.
   1. 공공 인터넷과 같은 제한 없는 액세스를 허용합니다.
   2. 로컬 연결이 신뢰할 수 있는 내부 네트워크에 액세스합니다.
3. 공격자는 악성 IPP 서버를 광고하여 악성 프린터를 프로비저닝합니다.
4. 잠재적 피해자가 악성 장치에서 인쇄를 시도합니다.
5. 공격자는 피해자의 컴퓨터에서 임의의 코드를 실행합니다.

감지 방법

Red Hat 고객은 다음 명령을 사용하여 cups-browsed가 실행 중인지 확인해야 합니다.

$ sudo systemctl status cups-browsed

명령 출력 결과에 “Active: inactive (dead)”이 포함된 경우 해당 취약점 체인이 존재하지 않으며 시스템은 보안에 취약하지 않다는 의미입니다.

명령 출력 결과가 "실행 중" 또는 "활성화됨"이고 구성 파일 /etc/cups/cups-browsed.conf의 "BrowseRemoteProtocols" 지시문에 "cups" 값이 포함되어 있는 경우 시스템은 보안에 취약함을 의미합니다.

완화 방법

특히 인쇄가 필요하지 않은 환경에서는 두 개의 명령을 실행하기만 하면 이러한 취약점을 완화할 수 있습니다.

실행 중인 cups-browse 서비스를 중지하려면 관리자는 다음 명령을 사용해야 합니다.

$ sudo  systemctl stop cups-browsed

시스템 재시작 시 cup-browsed 서비스가 시작되지 않도록 하려면 다음 명령을 사용합니다.

$ sudo systemctl disable cups-browsed

현재 Red Hat과 기타 다른 Linux 커뮤니티도 이러한 문제를 해결하기 위한 패치를 개발하고 있습니다.

감사 인사

Red Hat은 이러한 취약점을 발견하고 보고해 주신 Simone “EvilSocket” Margaritelli와 추가적인 조정 지원을 해 주신 Till Kamppeter(OpenPrinting)에게 감사드립니다.

추가 정보

이러한 취약점에 대한 Red Hat 보안 게시판 참조