首頁 > 安全研究 > 安全通報 > 安全事件響應

cups-browsed遠程命令執行漏洞來襲,啟明星辰提供解決方案

發布時間 2024-09-29

近期,啟明星辰監控到cups-browsed遠程命令執行漏洞(CVE-2024-47176),該漏洞CVSS3.1目前評分為8.3分,綜合評級為“高?!?。


CUPS(Common UNIX Printing System)是 Linux 系統上使用最廣泛的打印系統,其組件cups-browsed包含網絡打印功能,包括但不限于自動發現打印服務和共享打印機,受影響版本中未對數據包進行驗證,攻擊者可利用FoomaticRIPCommandLine實現遠程命令執行。


圖片1.png



漏洞復現截圖


圖片2.jpg


影響版本


cups-browsed <= 2.0.1


檢測方法


查看cups-browsed運行狀態,執行命令為systemctl status cups-browsed,如果顯示“active (running)”則受影響。


解決方案


一、官方修復方案

暫無官方修復方案。


二、臨時規避方案


停止并禁用cups-browsed,執行命令為sudo systemctl stop cups-browsed && sudo systemctl disable cups-browsed。


三、啟明星辰解決方案


1、啟明星辰終端產品方案


天珣終端安全一體化(EDR)提供漏洞的專項驗證檢查能力可對漏洞駐留終端進行全網同步驗證,監控主機異常外連檢測,預防漏洞攻擊風險。


圖片3.jpg


2、啟明星辰檢測類產品方案


天闐入侵檢測與管理系統(IDS)、天闐超融合檢測探針(CSP)、天闐威脅分析一體機(TAR)、天清入侵防御系統(IPS),升級到最新版本即可有效檢測或防護該漏洞造成的攻擊風險。

事件庫下載地址:

https://venustech.download.venuscloud.cn/


3、啟明星辰漏掃產品方案


(1)“啟明星辰漏洞掃描系統V6.0”產品已支持對該漏洞進行掃描。


圖片4.jpg


(2)啟明星辰漏洞掃描系統608X系列版本已支持對該漏洞進行掃描。


圖片5.jpg


4、啟明星辰資產與脆弱性管理平臺產品方案


啟明星辰資產與脆弱性管理平臺實時采集并更新情報信息,對入庫資產漏洞cups-browsed遠程命令執行漏洞(CVE-2024-47176)進行管理。


圖片6.jpg


5、啟明星辰安全管理和態勢感知平臺產品方案


用戶可以通過泰合安全管理和態勢感知平臺,進行關聯策略配置,結合實際環境中系統日志和安全設備的告警信息進行持續監控,從而發現“cups-browsed遠程命令執行漏洞(CVE-2024-47176)”的漏洞利用攻擊行為。


(1)在泰合的平臺中,通過脆弱性發現功能針對“cups-browsed遠程命令執行漏洞(CVE-2024-47176)”漏洞掃描任務,排查管理網絡中受此漏洞影響的重要資產;


圖片7.jpg


(2)平臺“關聯分析”模塊中,添加“L2_cups-browsed遠程命令執行漏洞”,通過啟明星辰檢測設備、目標主機系統等設備的告警日志,發現外部攻擊行為,具體配置如下:


圖片8.jpg


通過分析規則自動將“L2_cups-browsed遠程命令執行漏洞”漏洞利用的可疑行為源地址添加到觀察列表“高風險連接”中,作為內部情報數據使用;


(3)添加“L3_cups-browsed遠程命令執行漏洞”,條件日志名稱等于或包含“L2_cups-browsed遠程命令執行漏洞”,攻擊結果等于“攻擊成功”,目的地址引用資產漏洞或源地址匹配威脅情報,從而提升關聯規則的置信度。


圖片9.jpg

上一篇 下一篇