Celah Kritis CUPS Linux Buka Akses Eksekusi Perintah Jarak Jauh

Serangkaian kerentanan baru pada sistem OpenPrinting Common Unix Printing System (CUPS) di Linux baru-baru ini diungkapkan, yang berpotensi memungkinkan eksekusi perintah jarak jauh dalam kondisi tertentu.

Menurut peneliti keamanan Simone Margaritelli, penyerang yang tidak terautentikasi bisa mengganti URL IPP (Internet Printing Protocol) printer dengan URL berbahaya. Hal ini menyebabkan perintah dapat dieksekusi secara sewenang-wenang pada komputer ketika pengguna memulai proses cetak.

CUPS sendiri merupakan sistem pencetakan berbasis open-source yang digunakan pada berbagai sistem operasi seperti Linux dan sistem operasi mirip Unix lainnya, termasuk ArchLinux, Debian, Fedora, Red Hat Enterprise Linux (RHEL), ChromeOS, FreeBSD, NetBSD, OpenBSD, OpenSUSE dan SUSE Linux.

Beberapa kerentanan yang diidentifikasi mencakup:

• CVE-2024-47176: cups-browsed ≤ 2.0.1 mengikat pada port UDP INADDR_ANY:631, yang memungkinkan penyerang memicu permintaan IPP Get-Printer-Attributes dari URL berbahaya.
• CVE-2024-47076: libcupsfilters ≤ 2.1b1 tidak memvalidasi atribut IPP dari server IPP, memungkinkan data yang dikendalikan penyerang masuk ke sistem CUPS.
• CVE-2024-47175: libppd ≤ 2.1b1 tidak memvalidasi atribut IPP saat menuliskannya ke file PPD sementara, memungkinkan injeksi data yang dikendalikan oleh penyerang.
• CVE-2024-47177: cups-filter ≤ 2.0.1 memungkinkan eksekusi perintah sewenang-wenang melalui parameter PPD FoomaticRIPCommandLine.

Kerentanan ini memungkinkan serangan yang dapat membentuk rantai eksploitasi, di mana penyerang bisa menciptakan perangkat pencetakan palsu di jaringan yang menggunakan CUPS, kemudian mengeksekusi kode berbahaya saat pengguna memulai pekerjaan cetak. Masalah ini muncul akibat penanganan yang kurang tepat pada pengumuman "Printer Baru Tersedia" di komponen cups-browsed, serta validasi yang buruk oleh CUPS terkait informasi yang diterima dari perangkat pencetakan berbahaya.

Perusahaan keamanan jaringan Ontinue menjelaskan bahwa kerentanan ini memungkinkan penyerang memasang driver printer berbahaya di sistem yang rentan. Ketika pengguna mengirim pekerjaan cetak, eksekusi kode berbahaya akan dipicu. Meski demikian, kode ini hanya dieksekusi dengan hak istimewa pengguna lp (printer), bukan dengan akses 'root'.

Red Hat Enterprise Linux (RHEL) menyatakan dalam advisori mereka bahwa semua versi sistem operasi ini terpengaruh oleh kerentanan tersebut, meski dalam konfigurasi defaultnya, sistem tidak rentan. Kerentanan ini diberi label "Penting" karena potensi dampaknya. Namun, dampaknya pada kenyataannya mungkin terbatas.

Pakar keamanan siber dari Rapid7 mengingatkan bahwa sistem yang terpengaruh hanya dapat dieksploitasi jika port UDP 631 terbuka dan layanan CUPS yang rentan mendengarkan. Oleh karena itu, Palo Alto Networks memastikan bahwa produk dan layanan cloud mereka tidak terpengaruh oleh kerentanan terkait CUPS.

Saat ini, patch untuk mengatasi kerentanan sedang dikembangkan dan diperkirakan akan segera dirilis. Sebelum pembaruan tersedia, pengguna disarankan untuk menonaktifkan layanan cups-browsing jika tidak diperlukan, serta membatasi akses ke port UDP 631.

CEO WatchTowr, Benjamin Harris, menilai bahwa kerentanan ini, meskipun serius, dampaknya mungkin tidak meluas. Kerentanan ini tidak memengaruhi desktop atau workstation Linux dengan cara yang sama seperti edisi server. Meski begitu, tetap ada potensi ancaman pada sistem yang terpapar.

Satnam Narang dari Tenable juga menyatakan bahwa kerentanan ini tidak sebanding dengan kerentanan besar seperti Log4Shell atau Heartbleed. Namun, hal ini menyoroti pentingnya penelitian keamanan untuk mengungkap kelemahan dalam perangkat lunak, baik yang bersifat open-source maupun komersial. Narang menambahkan bahwa ancaman terbesar masih datang dari kerentanan yang sudah diketahui namun tetap dieksploitasi oleh kelompok ancaman yang terorganisir.

Kesadaran dan tindakan cepat sangat penting bagi organisasi untuk melindungi sistem mereka dari serangan yang berpotensi merugikan, terutama yang memanfaatkan kerentanan jaringan yang belum dipatch.