CVE-2024-47176 – Linux-Privilegienerweiterung über CUPS-Schwachstelle

29. April 2025

Was ist CVE-2024-47176? Eine Linux-Privilegienerweiterungs-Schwachstelle

CVE-ID: CVE-2024-47176

Beschreibung: Eine Schwachstelle bei der Rechteausweitung im Common UNIX Printing System (CUPS) betrifft den cups-browsed-Dienst, einen Helfer für den CUPS-Hauptdienst. Angreifer können diese Schwachstelle ausnutzen, indem sie bösartige Pakete erstellen, die auf den ungeschützten cups-browsed-Dienst auf Port 631/UDP abzielen. Dies kann dazu führen, dass der Dienst eine Rückverbindung zum Angreifer herstellt, wodurch möglicherweise wertvolle Informationen verloren gehen, die bei der Rechteausweitung helfen.

Betroffene Anbieter/Produkte: Die meisten Linux-Distributionen, die CUPS verwenden, insbesondere mit dem cups-browsed-Dienst bis Version 2.0.1, der auf verschiedenen Linux-Distributionen installiert sein kann, darunter Ubuntu, Debian, Red Hat und SUSE.

CVSS-Score: 5,3 (mittel)

Pentera-Schweregradbewertung: 8,4 (hoch)

Wie Angreifer CVE-2024-47176 ausnutzen

Angriffsvektor: Ausnutzung aus der Ferne möglich. Ein Angreifer mit Netzwerkzugriff auf den Zielcomputer über Port 631/UDP kann bösartige Pakete erstellen, um die Schwachstelle im cups-browsed-Dienst auszulösen, was möglicherweise zu einer Privilegienerweiterung führt.

Mögliche Auswirkungen: Eine erfolgreiche Ausnutzung dieser Schwachstelle in Kombination mit einer Kette verwandter CVEs (z. B. CVE-2024-47076, CVE-2024-47175, CVE-2024-47177) kann es einem Angreifer ermöglichen, seine Berechtigungen auf root zu erweitern, wodurch die Ausführung beliebiger Befehle und eine Berechtigungserweiterung ermöglicht werden.

Bedrohungsprofil: Trotz der CVSS-Bewertung von 5,3 (mittel) weist Pentera dieser CVE eine Schweregradbewertung von 8,4 (hoch) zu, da sie das Potenzial für eine lokale Rechteausweitung auf root hat. Diese Schwachstelle öffnet eine unvermeidliche Kette von Schwachstellen, die zu Remote Code Execution (RCE) und Privilege Escalation (PE) führt.

Exploits in der Praxis: Wie Hacker CUPS-Schwachstellen ausnutzen

• Historischer Kontext: Ähnliche Schwachstellen in CUPS, wie z. B. CVE-2022-26691, wurden bei Linux-Privilegienerweiterungsangriffen ausgenutzt.
• Verwendung durch Bedrohungsakteure: Bedrohungsakteure haben ähnliche CUPS-Schwachstellen bei der Privilegienerweiterung in früheren Linux-Angriffen ausgenutzt und diese oft mit lokalen Exploits (z. B. Kernel-Schwachstellen bei der Privilegienerweiterung) verknüpft, um die vollständige Kontrolle über das System zu erlangen. Diese Art von Fehlkonfiguration wird häufig in Mehrbenutzer-Linux-Umgebungen wie gemeinsam genutzten Workstations und lokalen Servern ausgenutzt, um Privilegien zu erweitern und sich lateral innerhalb eines Netzwerks zu bewegen.

Wie Sie CVE-2024-47176 in Ihrer Umgebung entdecken und validieren können

Die Sicherheitsvalidierungsplattform von Pentera identifiziert automatisch Instanzen dieser Schwachstelle in Unternehmensumgebungen.

Sicherheitsteams können die Ausnutzbarkeit validieren und potenzielle Angriffspfade verstehen, bevor Angreifer die Schwachstelle ausnutzen.

Warum CVE-2024-47176 wichtig ist: Sicherheitsrisiken und Prävention

• CISA-Katalog der bekannten ausgenutzten Schwachstellen (KEV)
• MITRE ATT&CK – Privilege Escalation (T1068)

Pentera-Sicherheitsvalidierung: Erkennen und Validieren von CVE-2024-47176

Pentera kann dieses weit verbreitete CVE erkennen. Sie werden es in der Angriffskarte als Schwachstelle – 8.4 CUPS-Schwachstelle – und als Erfolg 8.4 Gefundene Schwachstelle CVE-2024-47176 entdecken.

Wie man CVE-2024-47176 behebt: Behebung und Minderung

• Aktualisieren Sie die CUPS-Softwareversion – Aktualisieren Sie auf die neueste Version, die von Ihrer Linux-Distribution bereitgestellt wird.
• Entfernen Sie unnötige Berechtigungen
• Entfernen Sie den cups-browsed-Dienst, wenn er nicht benötigt wird, da er für die Kernfunktionalität von CUPS oft nicht erforderlich ist.
• Konfigurieren Sie cups-browsed so, dass es DNS-SD anstelle des CUPS-Dienstes verwendet, indem Sie cups-browsed.conf ändern
• Blockieren Sie den Datenverkehr zu Port 631/UDP von unnötigen Netzwerksegmenten mithilfe von Firewall-Regeln oder mit ufw (unter Ubuntu/Debian)
• Implementieren Sie AppArmor/SELinux-Richtlinien – Beschränken Sie die Ausführung privilegierter Binärdateien.
• Überprüfen Sie regelmäßig die Systemberechtigungen – verwenden Sie Tools wie Lynis oder OpenSCAP.

Eine kontinuierliche Validierung mit Pentera stellt sicher, dass Sie diese CVE finden und entschärfen, bevor Angreifer sie ausnutzen. Seien Sie Bedrohungen mit echten Angriffssimulationen immer einen Schritt voraus. Erfahren Sie, wie Pentera Ihre Sicherheit validiert.

Häufig gestellte Fragen

Was ist CVE-2024-47176?

CVE-2024-47176 ist eine Schwachstelle in Bezug auf die Ausweitung von Berechtigungen im Common UNIX Printing System (CUPS), die insbesondere den Dienst cups-browsed betrifft. Angreifer können diese Schwachstelle ausnutzen, indem sie bösartige Pakete an einen ungeschützten Port 631/UDP senden, was möglicherweise zur Offenlegung von Informationen und zur Ausweitung von Berechtigungen führt.

Wie wirkt sich CVE-2024-47176 auf Linux-Systeme aus?

Diese Schwachstelle ermöglicht es Angreifern, den cups-browsed-Dienst auszunutzen, um unbefugten Zugriff zu erlangen, sensible Systeminformationen preiszugeben und Berechtigungen zu erweitern, um Befehle als Benutzer mit höheren Berechtigungen, einschließlich root, auszuführen.

Welche Linux-Distributionen sind von dieser Schwachstelle betroffen?

Die meisten Linux-Distributionen, die CUPS mit dem cups-browsed-Dienst (bis Version 2.0.1) verwenden, sind anfällig, darunter: Ubuntu, Debian, Red Hat, SUSE.

Wie lautet die CVSS-Bewertung und die Schweregradbewertung für CVE-2024-47176?

CVSS-Score: 5,3 (mittel) Pentera-Schweregradbewertung: 8,4 (hoch) Pentera stuft diese Schwachstelle aufgrund ihrer Fähigkeit, mit anderen CVEs für die Eskalation von Root-Privilegien und die Ausführung von Remote-Code (RCE) verkettet zu werden, als hohes Risiko ein.

Wie nutzen Angreifer CVE-2024-47176 aus?

Ein Angreifer mit Netzwerkzugang kann: 1. Bösartige Pakete an Port 631/UDP senden, wodurch cups-browsed mit einem von einem Angreifer kontrollierten Remote-Rechner interagiert. 2. Systemdetails extrahieren, einschließlich Benutzerkonfigurationen und ausgeführte Dienste. 3. Es mit anderen Schwachstellen (z. B. CVE-2024-47076, CVE-2024-47175, CVE-2024-47177) verketten, um die Privilegien zu erweitern und eine Remote-Code-Ausführung (RCE) zu erreichen.

Wurde CVE-2024-47176 bei Angriffen in der Praxis ausgenutzt?

Es sind zwar noch keine öffentlich bekannten Angriffe bekannt, aber ähnliche CUPS-Schwachstellen (z. B. CVE-2022-26691) wurden bei Linux-Privilegienerweiterungsangriffen ausgenutzt, oft in Kombination mit Kernel-Exploits, um die vollständige Kontrolle über das System zu erlangen.

Wie hilft Pentera bei der Validierung und Eindämmung von CVE-2024-47176?

Die Plattform für kontinuierliche Sicherheitsvalidierung von Pentera: 1. Erkennt automatisch Instanzen dieser Schwachstelle in Unternehmensumgebungen. 2. Emuliert reale Angriffe, um die Ausnutzbarkeit zu bewerten. 3. Liefert umsetzbare Erkenntnisse zur Behebung, um die Gefährdung zu mindern, bevor Angreifer sie ausnutzen.

Quelle: Pentera-Blog

---

Bild/Quelle: https://depositphotos.com/de/home.html