サイバーセキュリティナビ

最新のサイバーセキュリティニュースサイトです。日本サイバーセキュリティ株式会社がお届けします。

Linux印刷システムの脆弱性発覚:予想より深刻度は低いものの、対策は必要

Linux印刷システムCUPSの脆弱性とは

最近、Linuxシステムに関する重大な脆弱性が発見されたというニュースが話題になりました。当初は非常に深刻な問題になると予想されていましたが、実際にはそれほど深刻ではないことが判明しました。

この脆弱性は、LinuxやUNIX系オペレーティングシステムで広く使用されている印刷システム「CUPS(Common UNIX Printing System)」に関するものです。CUPSは、OpenPrintingが開発しているオープンソースの印刷システムで、多くのLinuxディストリビューションに標準で搭載されています。

今回発見された脆弱性は、4つの異なる問題が組み合わさったものです。これらの脆弱性には、CVE-2024-47076、CVE-2024-47175、CVE-2024-47176、CVE-2024-47177という識別子が割り当てられています。

脆弱性の影響と深刻度

これらの脆弱性を悪用すると、攻撃者はリモートからコードを実行できる可能性があります。具体的には、印刷ジョブのURLを悪意のあるURLに置き換えることで、攻撃者が用意したコマンドを実行させることができます。

当初、この脆弱性のCVSSスコア(脆弱性の深刻度を示す指標)は9.9と報告され、多くのセキュリティ専門家が非常に重大な問題だと考えました。しかし、詳細な調査の結果、CVE-2024-47177のCVSSスコアは最大で9.1、他の脆弱性(CVE-2024-47076、CVE-2024-47175、CVE-2024-47176)のスコアは8.4から8.6と報告されていますが、深刻度はシステムのデフォルト設定では低く評価されています​。

主な理由は以下の通りです:

  1. デフォルト設定では脆弱ではない:Red Hatによると、影響を受けるパッケージは、デフォルトの設定では脆弱ではありません。
  2. 特定の条件が必要:脆弱性を悪用するには、影響を受けるCUPSサービスを手動で有効にする必要があります。
  3. 攻撃者のアクセスが必要:攻撃者は脆弱なサーバーにアクセスし、悪意のあるプリンターを設定する必要があります。
  4. ユーザーの操作が必要:被害者が実際に印刷ジョブを開始しない限り、攻撃は成功しません。

実際の影響範囲

セキュリティ企業Ontinueの分析によると、この脆弱性の「実世界での適用可能性は低い」とされています。つまり、理論上は深刻な脆弱性ですが、実際に悪用される可能性は限定的だということです。

また、WatchTowrのCEOであるBenjamin Harris氏は、この脆弱性が影響を与えるのは主にLinuxのデスクトップ版(Ubuntu Desktopなど)であり、一般的に使用されるサーバー版(Ubuntu Serverなど)ではないと指摘しています。

これは重要なポイントです。なぜなら、デスクトップマシンやワークステーションがインターネットに直接露出している可能性は、一般的なLinuxサーバーに比べてはるかに低いからです。そのため、この脆弱性が過去の大規模な脆弱性(MS08-067、ExternalBlue、HeartBleedなど)のような広範囲な影響を及ぼす可能性は低いと考えられます。

対策と今後の展開

現時点では、この脆弱性に対する公式のパッチはまだリリースされていません。CUPS開発者によると、これらの脆弱性の修正は容易ではないとのことです。

しかし、以下のような簡単な対策が可能です:

  1. 印刷機能が不要な環境では、脆弱なサービスを停止し、システム再起動時に自動起動しないようにする。
  2. UDPポート631へのすべてのトラフィックとDNS-SDトラフィックをブロックする。

また、Palo Alto Networksは、自社の製品やクラウドサービスには影響を受けるCUPSソフトウェアパッケージが含まれていないため、この脆弱性の影響を受けないと発表しています。

今回の脆弱性は、当初の予想ほど深刻ではありませんでしたが、それでも適切な対策を講じることが重要です。特に、印刷機能を頻繁に使用するLinuxシステムを運用している組織は、この脆弱性に注意を払い、必要な対策を実施することをお勧めします。

セキュリティ対策は常に進化し続けるプロセスです。今回の事例のように、初期の報告と実際の影響に差異がある場合もあります。そのため、常に最新の情報を収集し、自社のシステムに与える影響を冷静に評価することが、効果的なセキュリティ管理の鍵となります。

Japan Cyber Security Inc. All Rights Reserved.