Дослідники пояснюють, що вразливість CVE-2024-47176 у демоні cups-browsed (яку можна об’єднати з трьома іншими багами для віддаленого виконання коду) також можна застосувати і для посилення DDoS-атак.

Суть проблеми полягає в тому, що зловмисник може відправити спеціально підготовлений пакет, обманом змусивши сервер CUPS сприймати жертву як принтер, який необхідно додати. Кожен пакет, відправлений на вразливі сервери CUPS, спонукає їх генерувати об’ємні запити IPP/HTTP, спрямовані на цільовий пристрій. Причому це впливає як на цільовий пристрій, так і на сам сервер CUPS.

Для такої атаки зловмиснику достатньо надіслати лише один пакет вразливій службі CUPS, доступній через інтернет. За оцінками Akamai, для ампліфікації DDoS-атак підходять близько 34% вразливих пристроїв (58 000 із 198 000 виявлених у мережі машин). Зазначається, що багато хто з систем працюють під управлінням старих версій CUPS (аж до версій 2007 року) і є легкою здобиччю для хакерів.

Та більше, за словами дослідників, сотні вразливих пристроїв можуть увійти в нескінченний цикл: деякі сервери CUPS відправляли множинні запити після отримання вихідного пакета, а інші сервери і зовсім входили в нескінченний цикл через певні помилки HTTP/404.

“У найгіршому сценарії ми спостерігали нескінченний потік спроб підключення і запитів після всього одного тесту. Цим потокам, схоже, немає кінця, і вони триватимуть доти, доки демон не буде вимкнений або перезапущений, – кажуть в Akamai. – Багато з систем, за якими ми спостерігали під час тестування, формували тисячі запитів, надсилаючи їх у нашу тестову інфраструктуру. У деяких випадках така активність тривала нескінченно”.

Коефіцієнт ампліфікації DDoS-атаки при цьому може варіюватися залежно від низки факторів, але в середньому у дослідників вийшло посилити атаку в 600 разів.

Адміністраторам рекомендується якнайшвидше встановити патчі для CVE-2024-47176 або вимкнути cups-browsed, щоб блокувати можливі атаки і знизити ризик того, що сервери стануть частиною чогось DDoS-ботнету.