Nieuws
image

'2500 kwetsbare CUPS-systemen in Nederland vanaf internet benaderbaar'

vrijdag 4 oktober 2024, 10:44 door Redactie, 14 reacties

Er zijn in Nederland 2500 systemen die vanaf het internet benaderbaar zijn en een kwetsbare versie van CUPS draaien, zo stelt de Shadowserver Foundation op basis van extern uitgevoerd onderzoek. Verschillende kwetsbaarheden in CUPS maken, onder bepaalde omstandigheden, het mogelijk voor een ongeauthenticeerde aanvaller om op afstand code op Linux-systemen uit te voeren. CUPS is een printsysteem voor Linux-systemen en zorgt ervoor dat een systeem als printserver kan fungeren.

De Shadowserver Foundation is een stichting die zich bezighoudt met de bestrijding van cybercrime en geregeld scans op internet uitvoert naar kwetsbare systemen en betreffende organisaties waarschuwt. Vaak voert de stichting zelf scans uit, maar in het geval van de CUPS-kwetsbaarheid maakt het gebruik van externe gegevens. Die zijn gebaseerd op systemen die een kwetsbare versie van CUPS op port 631/UDP hebben draaien.

De scan leverde meer dan 107.000 kwetsbare systemen op, vooral in de Verenigde Staten en Duitsland. Nederland telt 2500 'CUPS instances' die kwetsbaar zijn. Naast de scan heeft de Shadowserver Foundation ook een speciaal rapport over de CUPS-kwetsbaarheden gepubliceerd. Daarin wordt opgeroepen de beschikbaar gestelde updates te installeren en CUPS volledig te verwijderen als het niet wordt gebruikt.

Reacties (14)
Reageer met quote
Vandaag, 10:48 door Anoniem
De kern van het probleem: vanaf internet bereikbaar.
Reageer met quote
Vandaag, 10:53 door Anoniem
Wat ik verbazingwekkend vind is dat er nog zoveel systemen zijn die niet achter een (NAT) router c.q. firewall zitten. Ik durf zelfs te beweren dat dit geen thuis systemen zijn want wie gaat er bewust UDP port 631 open zetten om vanaf het internet printopdrachten te versturen?
Reageer met quote
Vandaag, 10:59 door Anoniem
Ik heb bijna een dagtaak aan al die organisaties blokkeren. Duizenden subnets.
Reageer met quote
Vandaag, 11:28 door Anoniem
Door Anoniem: Wat ik verbazingwekkend vind is dat er nog zoveel systemen zijn die niet achter een (NAT) router c.q. firewall zitten. Ik durf zelfs te beweren dat dit geen thuis systemen zijn want wie gaat er bewust UDP port 631 open zetten om vanaf het internet printopdrachten te versturen?
Het zijn ongetwijfeld 1€ hosting oplossingen (wordpress bv) waarvan de beheerder te lui is of de kennis ontbreekt om een cups service uit te zetten. Ze kunnen wel een kwetsbare cups versie detecteren maar ik denk niet dat deze uit te buiten is want default staat cups-browsed service uit. Aan de andere kant wie, zet er nu bewust port 631 open (dan zal alles wel open staan, firewall uit). Wat een domme mensen heb je toch.
Reageer met quote
Vandaag, 11:49 door Anoniem
Mijn CUPS zit achter de firewall... Maar ik kan me gevallen voorstellen waarbij toegang tot de printer vanaf een extern netwerk gewenst is. Medewerker heeft app om xxx-bon te printen, maar niet altijd toegang tot wifi, vestiging A kan opdrachtbonnen maken voor vestiging B, etc. (Dit hoor je natuurlijk met een VPN op te lossen...)
Reageer met quote
Vandaag, 12:19 door Anoniem
Door Anoniem: ... wie gaat er bewust UDP port 631 open zetten om vanaf het internet printopdrachten te versturen?

Oudere routers die standaard UPnP hebben aan staan?
Reageer met quote
Vandaag, 12:30 door Anoniem
Door Anoniem: Wat ik verbazingwekkend vind is dat er nog zoveel systemen zijn die niet achter een (NAT) router c.q. firewall zitten. Ik durf zelfs te beweren dat dit geen thuis systemen zijn want wie gaat er bewust UDP port 631 open zetten om vanaf het internet printopdrachten te versturen?
Waarschijnlijk zijn een hoog percentage van deze 2500 systemen honeypots.
Reageer met quote
Vandaag, 13:06 door wim-bart
Zou mij niets verbazen dat veel systemen gewoon een VPS zijn. Met publiek IP address. Ik ken mensen welke Minecraft servers hebben draaien op Linux, die installeren maar wat omdat dat handig lijkt.

Maar CUPS bewust open zetten naar buiten toe. Dat is zelfde als RDP, SSH, SMB, LDAP naar buiten open zetten. Vragen om problemen.
Reageer met quote
Vandaag, 13:55 door Anoniem
Door Anoniem: Wat ik verbazingwekkend vind is dat er nog zoveel systemen zijn die niet achter een (NAT) router c.q. firewall zitten. Ik durf zelfs te beweren dat dit geen thuis systemen zijn want wie gaat er bewust UDP port 631 open zetten om vanaf het internet printopdrachten te versturen?

Die zullen er ongetwijfeld zijn die dat wel doen. handig onderweg even een document printen naar huis.
Reageer met quote
Vandaag, 14:06 door Anoniem
Door wim-bart: Zou mij niets verbazen dat veel systemen gewoon een VPS zijn. Met publiek IP address. Ik ken mensen welke Minecraft servers hebben draaien op Linux, die installeren maar wat omdat dat handig lijkt.

Maar CUPS bewust open zetten naar buiten toe. Dat is zelfde als RDP, SSH, SMB, LDAP naar buiten open zetten. Vragen om problemen.
Ssh is niet vragen om problemen.
Reageer met quote
Vandaag, 14:08 door Anoniem
Door Anoniem:
Door Anoniem: Wat ik verbazingwekkend vind is dat er nog zoveel systemen zijn die niet achter een (NAT) router c.q. firewall zitten. Ik durf zelfs te beweren dat dit geen thuis systemen zijn want wie gaat er bewust UDP port 631 open zetten om vanaf het internet printopdrachten te versturen?

Die zullen er ongetwijfeld zijn die dat wel doen. handig onderweg even een document printen naar huis.
Onhandig en niet doen. Er zijn beterschap oplossingen.
Reageer met quote
Vandaag, 14:15 door Password1234
Mooi hoor Shadowserver Foundation. Maar hebben jullie alle 2000 Nederlandse bedrijven dan al gebeld of gemaild ? En als ze niet antwoorden dan dus via de autoriteiten eea duidelijk gemaakt?
Reageer met quote
Vandaag, 15:22 door Anoniem
Door Anoniem:
Ssh is niet vragen om problemen.

Toch ik zou niet snel direct SSH aan het internet hangen.
Op z'n minst een andere poort pakken (evt. icm. knocking protocol, en iig icm firewall ALLOW rules), maar beter is deze enkel toegankelijk te maken via VPN.

Ik heb we een eens tijdje bewust een SSH honeypot aan het internet gehangen, en dan scannen wat erop gebeurt. Maar er vinden non-stop scans en brute-forces op plaats. Het is natuurlijk wachten totdat er een CVE naar buiten komt waar je net iets te laat mee bent om te patchen. Gevalletje 'voorkomen is beter dan genezen'.
Reageer met quote
Vandaag, 16:11 door Anoniem
Tja SSH is ook zo iets fijns... ik heb ergens noodgedwongen een SSH server draaien omdat er een beheerder op moet
kunnen inloggen die geen vast IP heeft. SSH staat ingesteld op "alleen public key logins", er draait fail2ban, maar toch
duizenden password login pogingen per dag. Die uiteraard allemaal fout gaan. En omdat men niet vanaf 1 IP allerlei
passwords probeert maar dat cyclisch via allerlei IPs doet komt fail2ban ook niet vaak in actie.
Je zou willen dat er een config was waarin alle connects zonder public key gewoon silent geweigerd worden met
doorlopen van zo weinig mogelijk code. Dan is het risico op vulnerabilities hopelijk minder.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search
Certified Secure