Le 27/09/2024 à 09:18, Niffo-Whois a écrit :
Le jeudi 26 septembre 2024 à 22:13 +0200, Laurent Barme a écrit :
Merci pour ce lien qui contient enfin une information exploitable, On y trouve, dans la section " Remediation" :
Disable and remove the cups-browsed service if you don’t need it (and probably you don’t). Et donc encore faut-il avoir installé cups-browsed pour se sentir concerné ?
On peut supposer/espérer que rares sont les machines exposées qui sont connectées à une imprimante à papier (technologie du 20ème siècle) et donc ont Cups installé ...
Niffo
Pour ce que je peux en voir sur mes machines, cups-browsed n'est pas installé automatiquement sur les serveurs (du moins pas en Debian) mais ça l'est sur un Raspberry Pi 5 Desktop !
Par contre, si on regarde de plus près le processus d'attaque :
Force the target machine to connect back to our malicious IPP server. Return an IPP attribute string that will inject controlled PPD directives to the temporary file. Wait for a print job to be sent to our fake printer for the PPD directives, and therefore the command, to be executed.
C'est le "Wait for a print job…" qui est intéressant : encore faudrait-il apparemment qu'un utilisateur choisisse d'utiliser une fausse imprimante installé ailleurs.