Une quadruple faille de sécurité critique vient d’être découverte dans CUPS pour l’ensemble des systèmes GNU/Linux. Cet article sera mis à jour avec les nouvelles informations, pour vous offrir un résumé simple et efficace de ce qu’il faut savoir et des mesures à prendre.
MAJ 29/09/2024 : Ces failles concernent bien uniquement CUPS, donc très peu de serveurs sont touchés, à moins que vous n’ayez des imprimantes en datacenter… ! Cet article a donc été réécrit en conséquence.
Une faille critique : qu’est-ce qu’on sait ?
Le chercheur en sécurité Simone Margaritelli, a découvert cet ensemble de failles début septembre.
Cela concerne CUPS, le service d’impression de Linux. Le chercheur met en lumière une possible exécution de code à distance (Remote Code Execution, ou RCE) sans authentification. Cela signifie que des attaquants pourraient potentiellement exécuter des commandes sur des machines distantes sans avoir à s’identifier, ce qui rend la faille particulièrement dangereuse. Le score CVSS attribué à ces failles est situé entre 8.3 et 9.0/10 (après avoir été évalué à 9.9).
Le 26 Septembre, Naïm Aouaichia, ingénieur cybersécurité nous alertait en indiquant avant tout le monde que cela pourrait concerner CUPS :
« Certaines rumeurs évoquent que cette faille serait liée à des vulnérabilités dans CUPS, le service d’impression. Oui, vos imprimantes sont peut-être au centre de tout ça. À confirmer.
D’après certaines hypothèses, le problème pourrait être lié à un buffer overflow ou à une race condition. »
Extrait du post LinkedIn de Naïm Aouaichia, ingénieur cybersécurité
Update 29/09/2024
Comme Naïm le remonte le 28 Septembre, cette faille concerne bien CUPS, avec 4 CVE révélées :
- CVE-2024-47176 (cups-browed)
- CVE-2024-47076 (cups-filters)
- CVE-2024-47175 (libppd)
- CVE-2024-47177 (cups-filters)
Cela ne concerne donc pas les serveurs dédiés sous firewall et/ou avec un service d’impression non lancé.
Pour les administrateurs locaux utilisant CUPS, restez bien attentifs.
Un problème qui date
Cette vulnérabilité a la peau dure, puisqu’elle a été présente dans les systèmes GNU/Linux pendant plus d’une décennie. Elle affecte toutes les distributions Linux, y compris Debian, Ubuntu, RedHat et autres.
Malgré l’importance de cette faille, il n’existe pour l’instant aucune correction disponible. Les développeurs continuent de débattre pour savoir quels aspects de la faille affectent réellement la sécurité, ce qui retarde la mise en place d’un correctif.
Processus de divulgation
Le chercheur Margaritelli, à l’origine de cette découverte, a travaillé sans relâche pendant trois semaines pour alerter la communauté open source et aider à la coordination des efforts de correction. Cependant, il a rencontré de nombreuses résistances de la part des développeurs, certains étant réticents à accepter l’existence de cette faille dans leur code. Cela souligne les défis auxquels est confrontée la gestion des vulnérabilités dans le monde open source.
Certains l’accusent de vouloir augmenter sa cote de popularité. Mais il faut se rendre à l’évidence : Le chercheur a bel et bien découvert une grosse faille que tout le monde ignorait depuis plus de 10 ans.
Canonical (Ubuntu) et RedHat ont confirmé la gravité de la situation et travaillent activement à une solution. La divulgation complète des détails techniques de la faille est prévue le 6 octobre, ce qui augmente la pression pour qu’un correctif soit publié rapidement.
La roadmap est la suivante :
- 30 Septembre : Divulgation initiale à la mailing list de sécurité « Openwall »
- 6 Octobre : Révélation publique avec tous les éléments de la vulnérabilité
Pourquoi c’est compliqué de corriger la faille ?
Margaritelli a indiqué dès le début qu’il faudrait probablement au moins trois à six identifiants CVE (Common Vulnerabilities and Exposures) pour couvrir tous les aspects du problème. Cela signifie qu’il y a plusieurs vecteurs d’attaque potentiels, chacun nécessitant une analyse et une résolution spécifiques.
Quels sont les risques pour vous ?
De ce que l’on sait désormais, il faut absolument éviter d’exposer vos services IPP sur internet (port 631 à bloquer au niveau des firewalls).
Bien que cette faille soit critique, elle n’est pas si facilement exploitable. Elle nécessite un haut niveau d’expertise technique, ce qui signifie que, pour l’instant, seuls des attaquants très qualifiés pourraient s’en servir. Les détails de la faille ne sont sont pas encore publics, limitant donc son impact. Mais cela ne doit pas vous rendre complaisant. Il faut rester vigilant, car une fois la divulgation complète effectuée, les tentatives d’exploitation vont se multiplier.
Que faire en attendant ?
Dans l’attente d’un correctif officiel, voici les bonnes pratiques à adopter pour limiter les risques :
- Surveillez les annonces officielles : Restez informé des mises à jour de sécurité publiées par votre distribution Linux. Ces annonces vous indiqueront quand un correctif est disponible.
- Renforcez la configuration de vos firewalls : Assurez-vous que vos serveurs ne sont pas exposés inutilement à Internet. Restreignez les accès aux ports essentiels et surtout, n’exposer pas le port 631 !
- Limitez l’exposition des services : Réduisez au minimum le nombre de services qui écoutent publiquement en coupant les services inutiles ou en les faisant écouter sur 127.0.0.1.
- Préparez-vous pour un déploiement rapide : Dès qu’un correctif est publié, soyez prêt à l’installer immédiatement pour protéger vos machines.
- Ré-évaluez vos sauvegardes : Assurez-vous d’avoir une bonne sauvegarde externalisée (chez LRob c’est déjà le cas mais on incite chacun à disposer de sa propre sauvegarde).
Conclusion : rester vigilant mais serein
Cette faille RCE est sans doute une des plus graves découvertes dans l’écosystème GNU/Linux depuis longtemps. Cependant, il est important de ne pas céder à la panique. Aucun système n’est exempt de failles et Linux reste le système d’exploitation le plus fiable et sécurisé. Il faut se rappeler que la plupart des serveurs n’ont pas de service CUPS en route, mais si c’est le cas, alors faites particulièrement attention. En adoptant les mesures de sécurité recommandées et en restant à l’écoute des annonces officielles, vous pouvez minimiser les risques. Le monde open source, réagit généralement rapidement et saura certainement surmonter cette épreuve efficacement, malgré les divergences internes inhérentes au travail collaboratif.
Gardez un œil sur les correctifs à venir et assurez-vous que vos systèmes sont prêts à les recevoir. La sécurité informatique est un défi permanent, mais en restant proactif, vous vous assurez que vos serveurs et vos clients WordPress restent protégés.
Chez LRob, on suit ça de très près, et si les serveurs ne sont pas affectés, je vous garantis qu’on corrigera quand même cette faille mondiale à l’instant où le patch sera disponible.
Enfin, on rappelle à ceux qui vont arguer que « Linux n’est pas sécurisé » un petit comparatif Linux VS Microsoft.
En vérité : la sécurité à 100% n’existe jamais, quiconque prétend le contraire est un menteur ou un ignorant ! Laissez donc le dogmatisme de côté. Personne n’est épargné par les failles, il s’agit donc de faire au mieux et de rester vigilant pour rendre les intrusions les plus difficiles possibles.
Sources :
Laisser un commentaire