【資安日報】9月30日，Unix與Linux普遍內建的列印系統CUPS存在重大漏洞

最近幾天有許多漏洞相關的消息揭露，其中有一起引起資安圈的高度關注，原因是透露此事的研究人員指出，漏洞的CVSS風險評分達到了9.9，而且，這樣的漏洞存在於Unix與Linux普遍內建的列印系統CUPS當中，可能有數十萬臺設備曝險。

這樣的情況，一度有人認為可能會造成類似Log4Shell的危機，而使得資安圈不敢掉以輕心。

【漏洞與修補】

Unix與Linux普遍內建的列印系統CUPS存在9.9分重大漏洞，攻擊者有機會遠端執行任意程式碼

資安研究人員Simone Margaritelli指出，Unix通用列印系統（Common UNIX Printing System，CUPS）存在一系列的漏洞，攻擊者有機會從遠端連入具有此弱點的Unix或Linux系統，執行任意程式碼，並透露問題出在CUPS有CVSS風險評分達到9.9的漏洞，相當危險。由於CUPS廣泛運用於Linux及Unix作業系統，這批漏洞有可能帶來相當大的危害。

研究人員發現，如果電腦或伺服器啟用了cups-browsed處理程序，攻擊者就能監聽UDP連接埠631埠，並且到這些系統當中，建立PostScript印表機描述檔案（PPD）的惡意印表機，手動連接啟用該服務的電腦。

如此一來，攻擊者就能從遠端進行惡意印表機的部署，若使用者利用這臺印表機進行列印，攻擊者的惡意指令就會在Unix或Linux本機系統執行。

Progress修補WhatsUp Gold 高風險漏洞

軟體業者Progress發布9月份安全更新，推出24.0.1版網路管理軟體WhatsUp Gold，修補多項高風險漏洞。

值得留意的是，本次公告內容只提及漏洞名稱、CVSS風險評分、通報人員身分。這6項漏洞中，CVE-2024-8785及CVE-2024-46909為CVSS評分達到9.8的重大層級漏洞，分別源自Tenable和趨勢科技研究人員通報。其餘4項漏洞CVE-2024-46905、CVE-2024-46906、CVE-2024-46907及CVE-2024-46908皆為CVSS評分8.8的高風險漏洞，由趨勢科技ZDI研究人員通報。

HPE Aruba修補無線基地臺重大層級的命令注入漏洞

9月24日HPE Aruba Networking發布資安公告，該公司旗下的Wi-Fi基地臺存在重大漏洞CVE-2024-42505、CVE-2024-42506、CVE-2024-42507，影響執行Instant AOS-8與AOS 10作業系統的網路設備，這些漏洞出現在Aruba的基地臺管理通訊協定（Aruba's
Access Point management protocol，PAPI），為命令注入漏洞，攻擊者可用來遠端執行任意命令，CVSS風險評分達到9.8。

這些命令注入漏洞存在於命令列介面（CLI）服務，攻擊者可在未通過身分驗證的情況下，傳送特製封包到採用PAPI協定的UDP埠（8211埠），從而觸發上述弱點，一旦成功，攻擊者就能以特殊權限的使用者身分，於作業系統底層執行任意程式碼。

Nvidia容器工具包存在重大漏洞，逾三分之一雲端環境恐曝險

資安業者Wiz揭露位於Nvidia Container Toolkit的安全漏洞CVE-2024-0132，它允許駭客突破容器的隔離限制而存取主機，CVSS風險評為9.0分，Nvidia亦發布1.16.2版修補。

CVE-2024-0132為時間檢查與時間使用（TOCTOU）漏洞，發生在檢查資源狀態與使用該資源間的時間差中，在預設的配置下執行特定的容器映像檔就會觸發該漏洞，允許駭客存取主機的檔案系統，成功的利用可導致程式執行、服務阻斷攻擊、權限擴張、資訊揭露或是竄改資料等行為。

有鑑於Nvidia為全球最大的顯示晶片供應商，Wiz估計，全球有33%的雲端環境都安裝了Nvidia Container Toolkit而可能曝險。

HashiCorp修補帳密管理工具Vault高風險漏洞

9月26日雲端服務基礎設施自動化業者HashiCorp發布資安公告，指出旗下的機敏資訊（secrets）管理工具Vault存在高風險漏洞CVE-2024-7594，同時影響社群版（Community Edition）與企業版（Enterprise），對此，他們發布社群版1.17.6，以及企業版1.17.6、1.16.10、1.15.15予以修補。

這項漏洞發生的原因，在於SSH機敏資訊引擎的valid_principals列表預設不須具備任何參數，一旦valid_principals及default_user欄位尚未設定，任何得到授權的使用者請求的SSH憑證，將能對任何本機使用者進行身分驗證，CVSS風險評分為7.7。

其他漏洞與修補

◆OpenPLC存在重大漏洞，攻擊者可發送特製請求觸發

◆Proxmox虛擬化平臺、郵件安全閘道的API存在高風險漏洞

◆Riello不斷電系統存在漏洞，恐導致設備遭到接管

◆Proroute旗下4G路由器存在高風險命令注入漏洞

◆影音播放器VLC Media Player修補高風險漏洞

【資安產業動態】

Firefox被控侵犯用戶隱私

非營利的歐洲數位人權中心None of Your Business（NOYB）向奧地利資料保護機構（DSB）投訴，指控Mozilla基金會在Firefox瀏覽器中內建的隱私保護歸因（Privacy Preserving Attribution，PPA）在未取得使用者同意之前便預設啟用，違反GDPR。

NOYB認為，Mozilla企圖在不於各個網站蒐集個人資料的情況下衡量廣告效果，但事實上，有部分的追蹤能力直接轉移到Firefox上，雖然相較於在美國常見的無限追蹤，PPA的侵入性較小，但根據GDPR，它依然侵犯了使用者的權利，因為它並沒有取得使用者的明確同意。

近期資安日報

【9月27日】駭客利用Docker引擎API進行挖礦

【9月26日】macOS版ChatGPT軟體存在可被竊密的漏洞SpAIware

【9月25日】UNC1860為攻擊中東企業組織的駭客開路