Nobody is perfect – auch Linux nicht. Vielleicht haben Sie auf Ihrem System noch eine unentdeckte Sicherheitslücke, bei der Angreifer über Ihre Drucker ins Netzwerk eindringen. So können Sie ein CUPS-Desaster vermeiden.
Was ist die CUPS-Lücke?
Im September 2024 wurden mehrere kritische Sicherheitslücken im Common UNIX Printing System (kurz: CUPS) entdeckt. Diese ermöglichen es Angreifern unter bestimmten Bedingungen, Schadcode auf Linux-Systemen auszuführen. Diese Schwachstellen betreffen alle Linux-Derivate und verschiedene Komponenten von CUPS.
Die Sicherheitslücken wurden unter den Bezeichnungen CVE-2024-47076 (“libcupsfilters”), CVE-2024-47175 (“libppd”), CVE-2024-47176 (“cups-browsed”) und CVE-2024-47177 (“cups-filters”) bekannt. Obwohl es sich um mehrere Schwachstellen handelt, wurde in der Presse von “der CUPS-Schwachstelle” gesprochen, also im Singular.
Die CUPS-Schwachstelle in Linux ist vergleichbar mit der Windows-Lücke CVE-2021-1675 (“Kritische Schwachstelle im Druckerspooler”), die auch als “PrintNightmare” bekannt wurde.
“The Devil Wears Paper”: Wie ein CUPS-Angriff aussieht
Ist eine Lücke im TCP-Protokoll das Problem? Nein! In diesem Fall können Angreifer speziell gestaltete, nicht authentifizierte Pakete an den UDP-Port 631 senden. Dadurch wird der CUPS-Dienst dazu gebracht, eine Verbindung zu einem “Fake-Drucker” herzustellen.
Wenn ein Mitarbeiter in einem Unternehmen anschließend einen Druckauftrag an diesen vermeintlichen Drucker sendet, führt der Angreifer eine Remote Code Execution (RCE) aus, um ins System einzudringen. CUPS wird so zum Einfallstor, schwere Schäden (Datendiebstahl, Datenverschlüsselung etc.) können die Folge sein. Zumindest, wenn das angegriffene System schwach geschützt und nicht in einer isolierten Umgebung liegt.
CUPS-Schwachstellen: Welche Gegenmaßnahmen gibt es?
Laut Presseberichten waren weltweit zehntausende Unternehmen von der CUPS-Lücke und ihren Folgen betroffen. Wie so oft, lässt sich diese Angriffsfläche leicht vermeiden. Diese simplen Maßnahmen helfen:
Härtung der Systeme
Bei der Systemhärtung im Allgemeinen und bei der Linux-Härtung im Besonderen gilt stets folgende Weisheit: Alle nicht benötigten Dienste sind zu deaktivieren! Das bedeutet in diesem Fall: Auf Systemen, bei denen kein Druckdienst zwingend erforderlich ist, muss CUPS vollständig abgeschaltet werden, um die potentiellen Angriffsvektoren zu reduzieren.
Firewalls und Segmentierungen
Exponierte Ports wie UDP 631 müssen so schnell wie möglich geschützt werden. Ebenso sollte ein Firmennetzwerk immer in verschiedene Segmente eingeteilt sein, damit sich Hacker bei Kompromittierungen gar nicht oder nur sehr langsam ausbreiten können.
Regelmäßige Systemupdates
Kurz nachdem der IT-Security-Spezialist Simone Margaritelli (Spitzname “Evil Socket”) die gefunden CUPS-Schwachstellen in seinem Blog öffentlich machte, erschienen zügig Patches für alle gängigen Linux-Distributionen. Mit einem ordentlichen Patch-Management lassen sich also solche bekannten Sicherheitslücken schnell schließen.
Stetige Kontrolle
Systemadministratoren haben darauf zu achten, welche Drucker in Betriebssystemen zur Auswahl stehen. Tauchen plötzlich unbekannte Geräte im Firmennetzwerk auf, geht man den Ursachen unverzüglich nach.
Aufklärung und Sensibilisierung
Grundsätzlich sollte jeder Mitarbeiter nur den für ihn im System voreingestellten Drucker verwenden und nicht eigenmächtig andere Drucker auswählen. Damit niemand in Fallen wie die CUPS-Schwachstelle tappt, sind IT-Sicherheitsschulungen und Sensibilisierung angebracht.
Wie erkennt man ungehärtete Systeme?
Wie eingangs erwähnt: “Nobody is perfect” und kein System kann 100% sicher sein – auch Linux nicht. Deshalb sollten Sie regelmäßig überprüfen, ob Ihr Betriebssystem nach den Standards von BSI, CIS und DISA gehärtet ist. Am schnellsten geht das mit AuditTAP. Das Open-Source-Tool prüft die sichere Konfiguration (Secure Configuration) aller gängigen Windows- und Linux-Systeme.
Als Ergebnis erhalten Sie einen detaillierten Bericht. So können Sie erkennen, ob die Konfiguration signifikante Mängel aufweist oder nicht.
Zeigt der Bericht bei Ihnen ein hohes Optimierungspotenzial? Dann sollten Sie eine professionelle und nachhaltige Systemhärtung durchführen. Dabei müssen nicht nur “kleine” Angriffsflächen wie die CUPS-Lücke geschlossen, sondern hunderte von Einstellungen angepasst werden.➡ Um diesen Aufwand zu reduzieren, empfiehlt sich der Einsatz eines Hardening-Tools wie dem Enforce Administrator.
Fazit
Spätestens seit dem “Windows-PrintNightmare” ist klar, dass der Printspooler-Dienst auf allen Systemen – somit auch bei Linux – deaktiviert werden sollte. Das gilt selbstverständlich nur, wenn man die Druckfunktion nicht nicht zwingend benötigt. Ist ein Druckdienst eminent wichtig, sind die genannten Maßnahmen zu ergreifen. Nur so lassen sich unnötige Sicherheitslücken vermeiden.
Wie können wir Ihnen helfen?
Wollen Sie mehr über Systemhärtung erfahren und praktische Tipps zur sicheren Konfiguration von Systemen erhalten? Folgen Sie uns auf LinkedIn!
Oder möchten Sie wissen, wie Sie eine (automatisierte) Systemhärtung professionell realisieren und in Ihrem Unternehmen implementieren können? Sprechen Sie uns an – unsere Experten sind gerne für Sie da!
Bilder: Freepik Pikaso, FB Pro