Kein weiterer “PrintNightmare”: Linux CUPS Sicherheitslücken richtig schließen – damit der Drucker nicht zum Einfallstor wird

Nobody is perfect, auch Linux nicht. Vielleicht haben Sie auf Ihrem System noch eine unentdeckte Sicherheitslücke, bei der Angreifer über Ihre Drucker ins Netzwerk eindringen. So können Sie ein CUPS-Desaster vermeiden.

Was ist die CUPS-Lücke?

Im September 2024 wurden mehrere kritische Sicherheitslücken im Common UNIX Printing System (kurz: CUPS) entdeckt. Diese ermöglichen es Angreifern unter bestimmten Bedingungen, Schadcode auf Linux-Systemen auszuführen. Diese Schwachstellen betreffen alle Linux-Derivate und verschiedene Komponenten von CUPS.

Die Sicherheitslücken wurden unter den Bezeichnungen CVE-2024-47076 (“libcupsfilters”), CVE-2024-47175 (“libppd”), CVE-2024-47176 (“cups-browsed”) und CVE-2024-47177 (“cups-filters”) bekannt. Obwohl es sich um mehrere Schwachstellen handelt, wurde in der Presse von “der CUPS-Schwachstelle” gesprochen, also im Singular.

Die CUPS-Schwachstelle in Linux ist vergleichbar mit der Windows-Lücke CVE-2021-1675 (“Kritische Schwachstelle im Druckerspooler”), die auch als “PrintNightmare” bekannt wurde.

Wie ein CUPS-Angriff aussieht

Ist eine Lücke im TCP-Protokoll das Problem? Nein! In diesem Fall können Angreifer speziell gestaltete, nicht authentifizierte Pakete an den UDP-Port 631 senden. Dadurch wird der CUPS-Dienst dazu gebracht, eine Verbindung zu einem “Fake-Drucker” herzustellen.

Wenn ein Mitarbeiter in einem Unternehmen anschließend einen Druckauftrag an diesen vermeintlichen Drucker sendet, führt der Angreifer eine Remote Code Execution (RCE) aus, um ins System einzudringen. CUPS wird so zum Einfallstor, schwere Schäden (Datendiebstahl, Datenverschlüsselung etc.) können die Folge sein. Zumindest, wenn das angegriffene System schwach geschützt und nicht in einer isolierten Umgebung liegt.

CUPS-Schwachstellen: Welche Gegenmaßnahmen gibt es?

Laut Presseberichten waren weltweit zehntausende Unternehmen von der CUPS-Lücke und ihren Folgen betroffen. Wie so oft, lässt sich diese Angriffsfläche leicht vermeiden. Diese simplen Maßnahmen helfen:

Härtung der Systeme
Bei der Systemhärtung im Allgemeinen und bei der Linux-Härtung im Besonderen gilt stets folgende Weisheit: Alle nicht benötigten Dienste sind zu deaktivieren! Das bedeutet in diesem Fall: Auf Systemen, bei denen kein Druckdienst zwingend erforderlich ist, muss CUPS vollständig abgeschaltet werden, um die potentiellen Angriffsvektoren zu reduzieren.

Firewalls und Segmentierungen
Exponierte Ports wie UDP 631 müssen so schnell wie möglich geschützt werden. Ebenso sollte ein Firmennetzwerk immer in verschiedene Segmente eingeteilt sein, damit sich Hacker bei Kompromittierungen gar nicht oder nur sehr langsam ausbreiten können.

Regelmäßige Systemupdates
Kurz nachdem der IT-Security-Spezialist Simone Margaritelli (Spitzname “Evil Socket”) die gefundenen CUPS-Schwachstellen in seinem Blog öffentlich machte, erschienen zügig Patches für alle gängigen Linux-Distributionen. Mit einem ordentlichen Patch-Management lassen sich also solche bekannten Sicherheitslücken schnell schließen.

Stetige Kontrolle
Systemadministratoren haben darauf zu achten, welche Drucker in Betriebssystemen zur Auswahl stehen. Tauchen plötzlich unbekannte Geräte im Firmennetzwerk auf, geht man den Ursachen unverzüglich nach.

Aufklärung und Sensibilisierung
Grundsätzlich sollte jeder Mitarbeiter nur den für ihn im System voreingestellten Drucker verwenden und nicht eigenmächtig andere Drucker auswählen. Damit niemand in Fallen wie die CUPS-Schwachstelle tappt, sind IT-Sicherheitsschulungen und Sensibilisierung angebracht.

Wie erkennt man ungehärtete Systeme?

Wie eingangs erwähnt: “Nobody is perfect” und kein System kann 100% sicher sein – auch Linux nicht. Deshalb sollten Sie regelmäßig überprüfen, ob Ihr Betriebssystem nach den Standards von BSI, CIS und DISA gehärtet ist. Am schnellsten geht das mit einem Tool wie dem AuditTAP. Das Open-Source-Tool prüft die sichere Konfiguration (aka “die Härtung”) aller gängigen Windows- und Linux-Systeme.

Als Ergebnis erhalten Sie einen detaillierten Bericht. So können Sie erkennen, ob die Konfiguration signifikante Mängel aufweist oder nicht.

Zeigt der Bericht bei Ihnen ein hohes Optimierungspotenzial? Dann sollten Sie eine professionelle und nachhaltige Systemhärtung durchführen. Dabei müssen nicht nur “kleine” Angriffsflächen wie die CUPS-Lücke geschlossen, sondern hunderte von Einstellungen angepasst werden.

Fazit

Spätestens seit dem “Windows-PrintNightmare” ist klar, dass der Printspooler-Dienst auf allen Systemen  – somit auch bei Linux – deaktiviert werden sollte. Das gilt selbstverständlich nur, wenn man die Druckfunktion nicht nicht zwingend benötigt. Ist ein Druckdienst eminent wichtig, sind die genannten Maßnahmen zu ergreifen. Nur so lassen sich unnötige Sicherheitslücken vermeiden.

Über den Autor:

Dr. Sven Schrader ist System Hardening Engineer und Linux Specialist bei der FB Pro GmbH. Die FB Pro bietet Lösungen für die automatisierte Linux- und Windows-Systemhärtung an. Mit den Hardening-Tools lassen sich große und komplexe IT-Landschaften von Unternehmen, Behörden und auch KRITIS-Organisationen dauerhaft sicher konfigurieren.

Weitere Beiträge von FB Pro GmbH

Mythen vs. Praxis: Die größten Irrtümer über Systemhärtung

Digital Operational Resilience Act: Welche Maßnahme essentiell ist

Wie Sie eine Systemhärtung bestens in Ihr Windows 11 Rollout Projekt integrieren

Linux-Härtung: Achten Sie auf diese Stolpersteine

---