Akamai 的研究人員表示，通用Unix 列印系統(Cups) 中存在一系列導致遠端程式碼執行(RCE) 的四個漏洞，這些漏洞似乎包含著令人討厭的刺痛，他們本週稍早發布了證據，表示它們還可以啟用嚴重的分散式阻斷服務 (DDoS) 攻擊。

CVE-2024-47176、CVE-2024-47076、CVE-2024-47175 和 CVE-2024-47177 總共影響超過 76,000 台設備，甚至可能更多。它們是由研究人員 Simone Margaritelli（又名邪惡插座）於 9 月底發現並披露的。

如果攻擊者能夠成功地將帶有惡意網路列印協定(IPP) URL 的「幽靈」印表機新增到易受攻擊的電腦上，那麼它們就會使Cups（允許普通電腦充當印表機伺服器）被用作RCE 的載體。

但根據Akamai 研究人員Larry Cashdollar、Kyle Lefton 和Chad Seaman 的說法，在審查Margaritelli 的披露時，他們發現了Cups 被利用發起DDoS 攻擊的可能性，這種攻擊雖然不如RCE 嚴重，但仍然會造成嚴重破壞，並且很容易被濫用於惡意目的。

三名研究人員聲稱，在這種情況下，特別令人擔憂的是，透過Cups 發動DDoS 攻擊需要有限的資源- 拉攏每個易受攻擊的暴露Cups 服務的任務可能只需要幾秒鐘，而且如果威脅行為者有權訪問對於現代超大規模平台來說，成本可能不到一美分。此外，要開始攻擊，攻擊系統只需向易受攻擊的 Cups 服務發送單一資料包即可。

他們在解釋 DDoS 風險的技術文章中寫道：“當攻擊者發送精心設計的數據包，指定目標地址作為要添加的印表機時，就會出現問題。”

「對於發送的每個封包，存在漏洞的 Cups 伺服器將產生一個更大且部分由攻擊者控制的 IPP/HTTP 請求，指向指定目標。結果，不僅目標受到影響，Cups伺服器的主機也成為受害者，因為攻擊會消耗其網路頻寬和CPU資源。

他們認為，實際上可能有超過 198,000 台設備可以透過網路訪問，並且容易受到這種攻擊媒介的攻擊，其中大約 58,000 台設備可用於 DDoS 攻擊。

他們補充說，鑑於許多設備都運行舊版本的 Cups（其中一些可以追溯到 2007 年發布的 1.3 版本），威脅行為者有一個絕佳的機會利用過時的硬體來放大他們的 DDoS 攻擊。

假設所有 58,000 多個已識別的主機都在同一活動中使用，它們可能會導致高達 6GB 的惡意流量氾濫，以現代標準來看，這絕不是特別大規模的 DDoS 攻擊，但仍然可能存在問題。

或許更令人擔憂的是，Akamai 團隊的測試還發現，一些活動的Cups 伺服器在收到初始請求後會反覆進行信標回复，而有些伺服器在收到HTTP/404 響應後似乎會無限地這樣做。他們表示，這表明該問題的潛在影響相當大，並且能夠引起重大問題。

「新的 DDoS 攻擊媒介有時會被低技能的機會主義攻擊者發現，並且經常很快被濫用。 CUPS 中的這一漏洞以及大量可能以這種方式被濫用的設備使我們相信防御者可能會遇到基於 CUPS 的攻擊。

“在消息傳遞和清理工作得到推動以減少易受攻擊和暴露在互聯網上的設備數量之前，我們懷疑這種媒介會在野外遭到濫用。”

APIContext 執行長 Mayur Upadhyaya 評論道：「CUPS 漏洞類似於在看似普通的揚聲器系統中發現隱藏的擴大機。輕輕的敲擊就能將耳語變成震耳欲聾的轟鳴聲，壓倒周圍的一切。同樣，這個缺陷甚至會放大很小的信號，使攻擊者能夠釋放大量流量，淹沒目標系統。