Hệ thống in Common Unix Printing System (CUPS), một thành phần con in ấn được sử dụng rộng rãi trên các hệ điều hành giống Unix, đang đối mặt với những lỗ hổng CVE nghiêm trọng. Các lỗ hổng này có khả năng ảnh hưởng đến hàng triệu máy chủ Linux trên toàn thế giới, tiềm ẩn nguy cơ gián đoạn dịch vụ từ xa và bỏ qua xác thực.

Tổng quan về các Lỗ hổng CVE trong CUPS

Hai lỗ hổng bảo mật mới được phát hiện, định danh là CVE-2025-58364 và CVE-2025-58060, bộc lộ các hệ thống Linux trước các cuộc tấn công từ chối dịch vụ (DoS) từ xa và bỏ qua xác thực hoàn toàn. Những CVE nghiêm trọng này đặc biệt đáng lo ngại vì chúng có thể bị khai thác trong các cấu hình CUPS mặc định hoặc phổ biến trong môi trường doanh nghiệp.

CVE-2025-58364: Tấn công Từ chối Dịch vụ qua Null Pointer Dereference

Lỗ hổng CVE-2025-58364 được đánh giá ở mức độ nghiêm trọng trung bình với điểm CVSS 6.5. Nó cho phép các cuộc tấn công từ chối dịch vụ từ xa thông qua việc tham chiếu con trỏ rỗng (null pointer dereference).

Nguyên nhân của lỗ hổng này xuất phát từ quá trình giải mã (deserialization) và kiểm tra thuộc tính máy in không an toàn trong thư viện libcups. Cụ thể, nó ảnh hưởng đến sự kết hợp giữa các yêu cầu IPP_OP_GET_PRINTER_ATTRIBUTES và các quy trình kiểm tra thuộc tính tiếp theo.

Cơ chế Khai thác Null Pointer Dereference

Nhà nghiên cứu bảo mật SilverPlate3 đã phát hiện ra rằng kẻ tấn công có thể khai thác lỗ hổng này bằng cách tạo các phản hồi thuộc tính máy in độc hại. Những phản hồi này sẽ kích hoạt lỗi tham chiếu con trỏ rỗng trong hàm ippValidateAttributes(). Khi một hệ thống cố gắng truy cập vào một vùng bộ nhớ được trỏ bởi một con trỏ rỗng, nó thường gây ra lỗi phân đoạn (segmentation fault) và dẫn đến sự cố ứng dụng hoặc dịch vụ.

Lỗ hổng này đặc biệt nguy hiểm trong các cấu hình Linux mặc định, nơi các máy chủ tự động lắng nghe các máy in trong mạng. Hệ thống chạy các phiên bản CUPS trước 2.4.12 đều dễ bị tổn thương. Tại thời điểm hiện tại, chưa có bản vá chính thức nào được phát hành để khắc phục lỗ hổng này. Chi tiết kỹ thuật về GHSA-7qx3-r744-6qv4.

CVE-2025-58060: Bỏ qua Xác thực Hoàn toàn

Lỗ hổng CVE-2025-58060 đặt ra rủi ro bảo mật cao với điểm CVSS 7.3. Nó cho phép bỏ qua xác thực hoàn toàn khi các cấu hình xác thực cụ thể được sử dụng. Đây là một trong những lỗ hổng CVE đáng lo ngại nhất.

Lỗ hổng này ảnh hưởng đến các cài đặt CUPS sử dụng các cấu hình AuthType khác ngoài xác thực cơ bản (Basic authentication), bao gồm các phương thức xác thực Negotiate thường được triển khai trong môi trường doanh nghiệp.

Cơ chế Bỏ qua Xác thực

Nhà nghiên cứu hvenev-insait đã xác định rằng khi CUPS được cấu hình với các loại xác thực không phải Basic, hệ thống không xác thực đúng mật khẩu trong tiêu đề Authorization: Basic. Kẻ tấn công có thể khai thác điều này bằng cách gửi các yêu cầu với thông tin xác thực cơ bản bị định dạng sai (malformed basic authentication credentials), qua đó bỏ qua hoàn toàn quá trình xác minh mật khẩu.

Điều này có nghĩa là kẻ tấn công có thể truy cập vào hệ thống in ấn mà không cần biết mật khẩu hợp lệ. Tất cả các phiên bản CUPS dưới 2.4.13 đều bị ảnh hưởng và chưa có bản vá nào được phát hành. Thông tin chi tiết về GHSA-4c68-qgrh-rmmq.

Tác động Bảo mật và Hệ quả

Những lỗ hổng CVE này gây ra những hệ lụy bảo mật nghiêm trọng cho hạ tầng Linux.

• CVE-2025-58364 có thể bị khai thác từ xa trong các phân đoạn mạng cục bộ, gây ra gián đoạn dịch vụ trên toàn bộ mạng máy Linux. Điều này có thể dẫn đến mất khả năng in ấn và gián đoạn các quy trình kinh doanh quan trọng phụ thuộc vào dịch vụ in.
• Trong khi đó, CVE-2025-58060 cấp cho kẻ tấn công quyền truy cập quản trị vào hệ thống in ấn. Điều này cho phép thao túng cấu hình, in tài liệu trái phép, và tiềm ẩn khả năng di chuyển ngang (lateral movement) trong các mạng đã bị xâm nhập.

Việc không có bản vá chính thức hiện tại buộc các quản trị viên hệ thống phải tìm kiếm các biện pháp giảm thiểu thay thế, chủ yếu thông qua bảo vệ cấp độ mạng và thay đổi cấu hình dịch vụ. Các lỗ hổng CVE này đặc biệt nguy hiểm do khả năng khai thác từ xa và tác động lớn.

Chiến lược Giảm thiểu và Phòng vệ An ninh Mạng

Trong bối cảnh chưa có bản vá chính thức cho các lỗ hổng CVE này, việc triển khai các biện pháp giảm thiểu là vô cùng quan trọng để bảo vệ các hệ thống Linux.

Hạn chế Truy cập Mạng

Một trong những biện pháp cơ bản nhất là hạn chế quyền truy cập vào dịch vụ CUPS từ mạng bên ngoài hoặc các phân đoạn mạng không đáng tin cậy. Điều này có thể được thực hiện bằng cách cấu hình tường lửa.

Ví dụ cấu hình tường lửa (ufw) để chỉ cho phép truy cập từ mạng cục bộ 192.168.1.0/24:

sudo ufw enable
sudo ufw default deny incoming
sudo ufw allow from 192.168.1.0/24 to any port 631
sudo ufw reload

Đảm bảo rằng cổng 631 (IPP) và các cổng liên quan đến dịch vụ in ấn khác chỉ được mở cho các địa chỉ IP hoặc mạng con đáng tin cậy.

Thay đổi Cấu hình CUPS

Điều chỉnh cấu hình CUPS có thể giảm thiểu nguy cơ khai thác.

• Vô hiệu hóa khám phá máy in mạng: Đối với CVE-2025-58364, việc ngăn chặn CUPS tự động khám phá máy in mạng có thể làm giảm bề mặt tấn công.
• Sử dụng xác thực cơ bản: Đối với CVE-2025-58060, nếu có thể, hãy chuyển sang sử dụng AuthType Basic. Tuy nhiên, cần lưu ý rằng xác thực cơ bản gửi thông tin xác thực dưới dạng mã hóa Base64 (không phải mã hóa thực sự), do đó cần đảm bảo kênh truyền thông được bảo vệ bằng TLS/SSL.

Ví dụ cấu hình cupsd.conf để giới hạn quyền truy cập:

# /etc/cups/cupsd.conf

Listen localhost:631
Listen /run/cups/cups.sock

<Location />
  Order Deny,Allow
  Deny From All
  Allow From 127.0.0.1
  Allow From 192.168.1.0/24
</Location>

<Location /admin>
  Order Deny,Allow
  Deny From All
  Allow From 127.0.0.1
  Allow From 192.168.1.0/24
  # Đối với CVE-2025-58060, xem xét AuthType Basic nếu không thể đợi bản vá
  AuthType Basic
  Require user @SYSTEM
</Location>

BrowseRemoteProtocols none

Sau khi chỉnh sửa, hãy khởi động lại dịch vụ CUPS:

sudo systemctl restart cups

Giám sát và Cập nhật Thường xuyên

Mặc dù chưa có bản vá, việc giám sát các kênh tin tức bảo mật và thông báo từ nhà cung cấp vẫn rất quan trọng. Khi các bản vá được phát hành, cần ưu tiên áp dụng ngay lập tức để khắc phục triệt để các lỗ hổng CVE này.

Thường xuyên kiểm tra nhật ký hệ thống của CUPS (thường nằm ở /var/log/cups/error_log) để phát hiện các dấu hiệu bất thường hoặc các nỗ lực khai thác. Việc tuân thủ các nguyên tắc an ninh mạng cơ bản, bao gồm nguyên tắc đặc quyền tối thiểu và phân đoạn mạng, sẽ giúp giảm thiểu tổng thể rủi ro bảo mật do các lỗ hổng chưa được vá gây ra.