В мире информационной безопасности наступает новая эра, где автоматизированные системы становятся ключевыми игроками в поиске слабых мест. Исследователь Асим Вилади Оглу Манизада и его команда агентов на базе искусственного интеллекта, специализирующихся на охоте за уязвимостями, совершили серьёзное открытие. Ими были обнаружены две критические уязвимости в системе печати CUPS, которая является стандартом для операционных систем Linux, macOS и других Unix-подобных платформ. В сочетании эти недостатки позволяют злоумышленнику без каких-либо прав доступа сначала выполнить произвольный код удалённо, а затем получить полный контроль над системой, что ставит под угрозу бесчисленное количество серверов по всему миру.
Поскольку планировщик печати CUPS по умолчанию работает с высокими привилегиями, он представляет собой обширную поверхность для атаки. Злоумышленники, нацеленные на корпоративные сети и инфраструктуру, всегда ищут подобные векторы для проникновения. Обнаруженные уязвимости, получившие идентификаторы CVE-2026-34980 и CVE-2026-34990, как раз и являются такими опасными точками входа. Первая из них позволяет осуществить удалённое выполнение кода, а вторая - эскалировать привилегии до уровня суперпользователя root. Вместе они образуют мощную цепочку для полного захвата системы.
Удалённое выполнение кода через CVE-2026-34980
Первая уязвимость, CVE-2026-34980, затрагивает системы, в которых настроена общая очередь печати PostScript без обязательной аутентификации пользователя. По умолчанию CUPS действительно принимает анонимные задания на печать в таких очередях. Суть проблемы кроется в ошибке парсинга при обработке атрибутов задания. Когда злоумышленник внедряет символ новой строки в параметр печати, система не удаляет его должным образом в процессе обработки. Это позволяет вредоносному тексту обойти внутренние проверки безопасности.
В результате атакующий получает возможность внедрить доверенную команду конфигурации в настройки очереди. Модифицируя конфигурацию, он может заставить систему запустить произвольно выбранную программу в качестве фильтра печати. Это даёт ему возможность выполнять код на скомпрометированной машине под учётной записью службы печати, которая, хотя и не является root, предоставляет значительный начальный уровень доступа для дальнейших действий.
Эскалация привилегий до root через CVE-2026-34990
Вторая уязвимость, CVE-2026-34990, представляет собой локальное повышение привилегий и работает против стандартной конфигурации CUPS. В отличие от первой, для её эксплуатации злоумышленнику уже требуется наличие учётной записи с низкими привилегиями в системе. Атака начинается с того, что скомпрометированный локальный пользователь создаёт поддельный временный принтер, ожидающий подключения на определённом сетевом порту.
Когда система CUPS пытается проверить этот вновь созданный принтер, атакующий перехватывает процесс и вынуждает систему передать ему свой токен локального администратора с высокими привилегиями. Обладая этим украденным токеном, злоумышленник быстро создаёт вторую временную очередь, указывающую на путь к критически важному системному файлу. Используя состояние гонки - короткий промежуток времени до того, как система очистит временную очередь, - атакующий может открыть общий доступ к принтеру и отправить данные печати напрямую в защищённые системные файлы. Это позволяет перезаписать их вредоносным содержимым, что в конечном итоге приводит к получению полного контроля root.
Контекст и последствия для бизнеса
Обнаружение этих уязвимостей с помощью агентов ИИ - знаковое событие, демонстрирующее, как технологии машинного обучения начинают опережать традиционные методы анализа безопасности. Для бизнеса и системных администраторов это открытие служит тревожным сигналом. Серверы, на которых используются службы печати для внутренних нужд или которые ошибочно экспортируют эти службы в сеть, оказываются под прямой угрозой. Последствия успешной атаки могут быть катастрофическими: от утечки конфиденциальных данных, отправленных на печать, до полного паралича инфраструктуры путём повреждения критически важных системных файлов.
Важно отметить, что на момент публикации, в начале апреля 2026 года, в открытом доступе уже существуют коммиты с исправлениями кода, однако официальный патчированный релиз CUPS ещё не выпущен. Это создаёт окно уязвимости, которым могут воспользоваться злоумышленники, отслеживающие подобные обновления.
Рекомендации по смягчению угроз
В свете текущей ситуации эксперты настоятельно рекомендуют администраторам принять срочные меры. Первым и наиболее эффективным шагом должно стать полное отключение сетевого доступа к службе CUPS, если её функционал не является критически важным для работы. В случаях, когда использование общей очереди печати необходимо, следует в обязательном порядке настроить строгую аутентификацию для всех запросов, отменив анонимный доступ по умолчанию.
Кроме того, крайне важно обеспечить работу службы CUPS в рамках строгой политики модуля безопасности, такого как SELinux или AppArmor. Эти системы принудительного контроля доступа позволяют ограничить круг файлов и действий, доступных для службы печати. Такая стратегия изоляции, или контейнеризации, значительно снижает потенциальный ущерб даже в случае успешной эксплуатации уязвимости, блокируя несанкционированную перезапись системных файлов и сдерживая атаку. В конечном счёте, данный инцидент подчёркивает необходимость комплексного подхода к безопасности, где снижение поверхности атаки и принцип минимальных привилегий остаются краеугольными камнями защиты.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-34980
- https://www.cve.org/CVERecord?id=CVE-2026-34990
- https://heyitsas.im/posts/cups/
- https://github.com/OpenPrinting/cups/security/advisories/GHSA-4852-v58g-6cwf
- https://github.com/OpenPrinting/cups/security/advisories/GHSA-c54j-2vqw-wpwp
