cups-browsed是CUPS(Common Unix Printing System，通用Unix打印系统)一个重要组件，它是一个轻量级的后台服务，用于在本地网络中自动发现和共享打印机。

微步情报局于近日获取到cups-browsed远程代码执行漏洞情报(https://x.threatbook.com/v5/vul/XVE-2024-28256)。

根据漏洞发现者公开披露的信息(https://www.evilsocket.net/2024/09/26/Attacking-UNIX-systems-via-CUPS-Part-I/)， 未经认证的攻击者通过构造恶意的IPP服务器，通过引导受害者配置该恶意打印机，当受害者尝试从恶意设备打印时，攻击者即可利用该漏洞实现远程命令执行。

目前Canonical(Ubuntu开发商)、Debian、Red Hat以及其他发行版的开发团队和公司已经对该漏洞发布了安全通告：

• https://www.redhat.com/en/blog/red-hat-response-openprinting-cups-vulnerabilities

• https://security-tracker.debian.org/tracker/CVE-2024-47176

• https://ubuntu.com/security/notices/USN-7043-1

虽然 网传该漏洞CVSS评分可能为9.9 ，根据Red Hat的公告信息，该漏洞的利用有以下条件：

1.若想在互联网环境下使用该漏洞，攻击者需要能远程访问cups-browsed 服务，且cups-browsed 服务所在的服务器必须能够出网 ( 但并非所有Linux发行版都默认启用CUPS服务)

2. 需要受害者被动配合，配置攻击者的恶意IPP服务器

漏洞处置优先级(VPT)

综合处置优先级： 高

暂无官方修复方案

临时修复方案：

1. 排查 主机上是否启用 cups-browsed服务 。 例如 RedHat系统使用sudo systemctl status cups-browsed

2.排查该服务是否绑定在0.0.0.0，且对外开放。该服务默认绑定在631端口，使用netstat -ano | grep 631

3.若确认已开启该服务，如果业务场景不需要打印的情况下可禁用该服务。例如 RedHat 系统使用 sudo systemctl disable cups-browsed