Recent, experții în securitate cibernetică au descoperit două vulnerabilități critice în sistemul de tipărire Common Unix Printing System (CUPS) de pe Linux. Aceste erori, etichetate CVE-2025-58364 și CVE-2025-58060, pun în pericol milioane de sisteme la nivel global, de la rețele de birou la computere personale. Ele permit atacuri de tip denial-of-service (DoS) și ocolirea autentificării, oferind atacatorilor control total.
Prima vulnerabilitate, CVE-2025-58364, este o problemă de tip DoS. Un atacator aflat în aceeași rețea locală poate trimite un răspuns malițios de la o imprimantă falsă. Atunci când un sistem vulnerabil, care folosește serviciul cups-browsed pentru a detecta imprimante, încearcă să citească acel răspuns, programul se blochează complet. Acest lucru duce la oprirea forțată a serviciului CUPS, blocând tipărirea pentru întreaga rețea.
Cea de-a doua vulnerabilitate, CVE-2025-58060, este și mai periculoasă. Aceasta permite ocolirea autentificării administratorilor CUPS. Chiar dacă un administrator a configurat CUPS cu metode de autentificare avansate, cum ar fi Kerberos sau LDAP, atacatorii pot trimite o simplă cerere de autentificare "Basic" care este acceptată din greșeală, oferindu-le acces deplin la setările de administrare. Astfel, ei pot modifica cozile de tipărire și pot accesa documente sensibile.
Sfaturi de protecție
1. Restricționează accesul la portul de tipărire (Portul 631) cu ajutorul firewall-ului
Pasul 1: Deschide terminalul de pe sistemul tău Linux.
Pasul 2: Pentru a verifica dacă firewall-ul este activ, tastează sudo ufw status. Dacă este inactiv, activează-l cu sudo ufw enable.
Pasul 3: Blocează accesul extern la portul 631. Rulează comanda: sudo ufw deny 631/tcp.
Pasul 4: Dacă ai nevoie să permiți accesul doar de pe o anumită adresă IP din rețeaua ta locală (de exemplu, 192.168.1.10), poți folosi comanda: sudo ufw allow from 192.168.1.10 to any port 631.
2. Dezactivează serviciul cups-browsed (descoperire automată imprimante)
Pasul 1: Deschide terminalul și oprește serviciul cups-browsed, care caută automat imprimante în rețea. Tastează: sudo systemctl stop cups-browsed.
Pasul 2: Pentru a te asigura că serviciul nu va reporni automat la următoarea repornire a sistemului, dezactivează-l permanent cu comanda: sudo systemctl disable cups-browsed.
Pasul 3: Verifică starea serviciului pentru a te asigura că este oprit: sudo systemctl status cups-browsed.
3. Forțează o metodă de autentificare sigură (AuthType Basic)
Pasul 1: Deschide fișierul de configurare principal al CUPS, cupsd.conf, cu un editor de text cu drepturi de administrator. De obicei, fișierul se află în /etc/cups/. Poți folosi nano cu comanda: sudo nano /etc/cups/cupsd.conf.
Pasul 2: Caută linia DefaultAuthType. Dacă nu o găsești, adaug-o. Setează valoarea la Basic: DefaultAuthType Basic.
Pasul 3: Caută și șterge sau comentează (prin adăugarea unui # la început) orice linie care ar putea permite autentificarea de tip Negotiate, Digest sau alte metode care nu sunt Basic.
Pasul 4: Salvează fișierul (Ctrl+X, apoi Y și Enter în nano).
Pasul 5: Repornește serviciul CUPS pentru ca modificările să intre în vigoare: sudo systemctl restart cups.
Pasul 6: Verifică funcționalitatea. Este recomandat ca această operatiune/validare să fie efectuată de un administrator de sistem, pentru a se asigura că modificările nu au afectat accesul legitim la serviciile de printare.
4. Verifică și actualizează permisiunile fișierelor de configurare
Pasul 1: Asigură-te că doar utilizatorul root și grupul lpadmin pot modifica fișierele de configurare.
Pasul 2: Deschide terminalul și rulează următoarele comenzi pentru a seta permisiunile corecte pentru fișierul cupsd.conf:
sudo chown root:lpadmin /etc/cups/cupsd.confsudo chmod 640 /etc/cups/cupsd.conf
5. Folosește parole unice și complexe pentru administratorii CUPS
Pasul 1: Asigură-te că utilizatorii cu drepturi de administrare (de exemplu, cei din grupul lpadmin) au parole puternice, care includ litere mari, mici, cifre și simboluri.
Pasul 2: Schimbă parola utilizatorului admin sau root în cazul în care este folosită pentru administrarea imprimantelor.
6. Implementează un sistem de monitorizare pentru traficul de rețea
Pasul 1: Instalează un utilitar de monitorizare, cum ar fi tcpdump sau Wireshark.
Pasul 2: Rulează o comandă similară cu sudo tcpdump -i eth0 port 631 (înlocuiește eth0 cu interfața ta de rețea) pentru a verifica traficul pe portul 631.
Pasul 3: Caută pachete suspecte sau conexiuni de la adrese IP necunoscute sau neautorizate.
7. Dezactivează tipărirea de la distanță (remote printing) dacă nu o folosești
Pasul 1: Deschide din nou fișierul cupsd.conf.
Pasul 2: Caută directiva Listen. Dacă este configurată cu Listen 0.0.0.0:631 sau Listen [::]:631, acest lucru înseamnă că serviciul ascultă cereri de la orice adresă IP.
Pasul 3: Comentează această linie (adăugând # la începutul ei) și adaugă în loc Listen 127.0.0.1:631 sau Listen localhost:631 pentru a permite accesul doar de pe sistemul local.
8. Instalează rapid actualizările de securitate pentru CUPS
Pasul 1: Deschide terminalul.
Pasul 2: Pe sistemele bazate pe Debian/Ubuntu, rulează sudo apt update && sudo apt upgrade.
Pasul 3: Pe sistemele bazate pe Red Hat/Fedora, folosește sudo dnf update.
Pasul 4: Asigură-te că pachetul cups este inclus în actualizări și că este instalată cea mai recentă versiune.
9. Nu folosi un cont cu privilegii de administrator pentru operațiunile zilnice
Pasul 1: Creează un cont de utilizator standard pentru sarcinile de zi cu zi.
Pasul 2: Folosește sudo doar atunci când ai nevoie de drepturi administrative, limitând astfel expunerea contului root la potențiale atacuri.
10. Educație și conștientizare
Pasul 1: Informați-vă constant despre cele mai noi amenințări de securitate cibernetică.
Pasul 2: Consultați periodic buletinele de securitate emise de OpenPrinting și de distribuția voastră de Linux.
Pentru mai multe sfaturi și informații despre securitatea cibernetică, vizitează regulat sigurantapenet.ro