Новая дырка

[АлексеМиК]

Во имя ОтцаиСынаиСвятагоДуха
https://xakep.ru/2024/09/27/cups-rce/
Проверил порты 631 - LISTEN
Не могу вставить скрин - пишет нет доступа к папке - это можно исправить??
Не обрадован точно

[АлексеМиК]

Порт 631 реально открыт
Использовал nmap localhost
Скрины НЕ ВСТАВЛЯЮТСЯ - можно с  этим что-то сделать ??

[АлексеМиК]

Процесс который сидит на 631 порту имеет пид 1 - аштоппил
Пытался кильнуть  - беЗполезно

[АлексеМиК]

выполнил
systemctl stop cups-browsed
systemctl disable cups-browsed
systemctl status cups-browsed
cups-browsed.service - Make remote CUPS printers available locally
     Loaded: loaded (/lib/systemd/system/cups-browsed.service; disabled; vendor preset: disabled)
     Active: inactive (dead)

сен 29 00:10:31 uu5pgz3oyyvqq systemd[1]: Started Make remote CUPS printers available locally.
сен 29 03:56:44 uu5pgz3oyyvqq systemd[1]: Stopping Make remote CUPS printers available locally...
сен 29 03:56:45 uu5pgz3oyyvqq systemd[1]: cups-browsed.service: Deactivated successfully.
сен 29 03:56:45 uu5pgz3oyyvqq systemd[1]: Stopped Make remote CUPS printers available locally.

[asy]

Проверил порты 631 - LISTEN

И что? По умолчанию он на localhost LISTEN. Вот если общий доступ к принтеру делали и вешали сервис на внешний IP компьютера, то ой. Особенно, если ещё и на реальный.

[asy]

Порт 631 реально открыт
Использовал nmap localhost

Кошмар...

[Nicom]

Скрины НЕ ВСТАВЛЯЮТСЯ - можно с  этим что-то сделать ??

Вставлять не картинку, а текст из консоли. Как скопировать текст нужно подсказывать?

выполнил
systemctl stop cups-browsed

И? Результат какой?

В указанной вами статье https://www.opennet.ru/opennews/art.shtml?num=61942 даны чёткие ограничения использования уязвимости и чёткие рекомендации устранения.

Атаке подвержены системы с сервером печати CUPS и запущенным процессом cups-browsed, принимающим сетевые соединения на 631 порту (UDP). Атака также может быть совершена из локальной сети, в которой для доступа к серверу печати используются протоколы zeroconf, mDNS или DNS-SD. Уязвимы только конфигурации cups-browsed в которых в файле /etc/cups/cups-browsed.conf в параметре BrowseRemoteProtocols указано значение "cups". Во многих дистрибутивах Linux процесс cups-browsed запущен по умолчанию в конфигурации, допускающей эксплуатацию уязвимости. В дистрибутивах с systemd проверить использование сервиса cups-browsed можно командой "sudo systemctl status cups-browsed".

В качестве обходного пути защиты до установки обновления можно закрыть для внешних сетей доступ к UDP-порту 631, отключить сервис cups-browsed или выставить настройку BrowseRemoteProtocols в значение "none".

У вас что, компьютер "голой попой" в интернет смотрит? Даже роутера нет?

[kessys]

У вас что, компьютер "голой попой" в интернет смотрит? Даже роутера нет?

Вот мне только не совсем понятно откуда берёт ppd наш cups при включённом mDNS?

[Nicom]

У вас что, компьютер "голой попой" в интернет смотрит? Даже роутера нет?

Вот мне только не совсем понятно откуда берёт ppd наш cups при включённом mDNS?

Так ведь русским языком написано, правда с перевода.

Эксплоит позволяет незаметно заменить параметры принтера пользователя или добавить новый принтер, связанный с запущенным атакующим IPP-сервером, который отдаёт специально оформленное PPD-описание принтера,

[АлексеМиК]

Нет. У меня роутер.
Соль в том ЧТО У МЕНЯ НЕТ ПРИНТЕРА.
Соответственно и соотв службы/процессы НИКОГДА НЕ ИСПОЛЬЗОВАЛ

[Nicom]

Соль в том ЧТО У МЕНЯ НЕТ ПРИНТЕРА.

Не ждёте принтера, тогда отключите CUPS.

Код: [Выделить]

systemctl stop cups
systemctl disable cups
По умолчанию в системе cups.service включен, а cups-browsed.service выключен.

Процесс который сидит на 631 порту имеет пид 1 - аштоппил

А как тогда у вас вообще работает система без /sbin/init?
Ну разве что шалят устройства /dev/eyes и /dev/brain.

[АлексеМиК]

 systemctl stop cups
[root@uu5pgz3oyyvqq ~]# systemctl disable cups
Synchronizing state of cups.service with SysV service script with /lib/systemd/systemd-sysv-install.
Executing: /lib/systemd/systemd-sysv-install disable cups
Removed /etc/systemd/system/multi-user.target.wants/cups.path.
Removed /etc/systemd/system/sockets.target.wants/cups.socket.
Removed /etc/systemd/system/printer.target.wants/cups.service.
[root@uu5pgz3oyyvqq ~]# nmap localhost
Starting Nmap 7.80 ( https://nmap.org ) at 2024-10-01 11:27 MSK
Nmap scan report for localhost (127.0.0.1)
Host is up (0.0000080s latency).
rDNS record for 127.0.0.1: localhost.localdomain
Not shown: 998 closed ports
PORT    STATE SERVICE
139/tcp open  netbios-ssn
445/tcp open  microsoft-ds

Nmap done: 1 IP address (1 host up) scanned in 0.32 seconds
[root@uu5pgz3oyyvqq ~]#

[АлексеМиК]

заодно подскажите как закрыть 445 порт

[Nicom]

заодно подскажите как закрыть 445 порт

А зачем вам samba на одном-то ноутбуке в подсети?

Код: [Выделить]

systemctl stop smb.service && systemctl disable smb.service
systemctl stop nmb.service && systemctl disable nmb.serviceЧто вы такое установили на ноутбук, что samba запущена по умолчанию?
Что у smb, что у nmb изначально установлено "vendor preset: disabled".

По хорошему, пройтись бы ещё каким-нибудь web-сканером портов по внешнему IP-адресу роутера.
Узнать внешний адрес можно с помощью сайта 2ip.ru, сканер ищите сами в поисковиках, или с того же 2ip.ru.

[АлексеМиК]

 nmap ХХХ.ХХХ.ХХ.ХХ
Starting Nmap 7.80 ( https://nmap.org ) at 2024-10-01 15:24 MSK
Note: Host seems down. If it is really up, but blocking our ping probes, try -Pn
Nmap done: 1 IP address (0 hosts up) scanned in 3.22 seconds
Все порты закрыты