2026年4月初,全球IT安全社区面临两个同步爆发的威胁:其一是 OpenPrinting CUPS 打印系统被集中披露的四个高危漏洞,其二是 Qilin 勒索软件组织在4月的活跃程度达到近年峰值。对于承担企业 Linux 服务器日常运维的 IT 外包团队而言,这两件事叠加在一起,意味着本月的安全优先级必须上调。
先说 CUPS 的问题。OpenPrinting CUPS 是 Linux 和 Unix 类系统最主流的打印子系统,几乎所有企业级 Linux 发行版都默认集成。本轮漏洞共涉及四个 CVE:CVE-2026-34980(匿名打印作业触发代码执行)、CVE-2026-27447(通过大小写不敏感的组成员查找绕过授权)、CVE-2026-34978(RSS 通知 URI 中的路径穿越)和 CVE-2026-34979(get_options() 函数堆溢出)。影响范围是 CUPS 2.4.16 及更早所有版本。其中 CVE-2026-34980 最为棘手:只要 cupsd 暴露在网络上且目标队列被标记为"共享",未经身份验证的攻击者就可以发送一个特制打印作业,通过 page-border 参数注入换行符,最终以 lp 系统用户权限执行任意命令。考虑到很多企业服务器为了方便内网共享打印,会把 cupsd 监听到 0.0.0.0,这个攻击面并不小。
从我们实际维护客户服务器的经验来看,CUPS 的安全配置往往处于"装了就不管"的状态。很多 IT 管理员认为打印服务是低风险组件,很少纳入定期加固检查的范围。但这次的漏洞组合表明,打印系统完全可以成为进入服务器内网的跳板。临时缓解措施有两条:一是在防火墙层面封堵 631 端口(IPP 协议默认端口),仅允许可信内网 IP 访问;二是检查 /etc/cups/cupsd.conf,将 Browsing 和 BrowseLocalProtocols 关闭,并把 <Location /> 的 Allow 限制到实际需要共享打印的网段。这两步操作无需重装系统,五分钟内可以完成。官方补丁已在跟进中,建议及时关注各发行版安全公告。
同期值得警惕的是 Qilin 勒索软件的异常活跃。根据 Ransom-DB 跟踪的近 775 起攻击事件,Qilin 在过去 30 天内确认了 107 名受害者,占全部记录攻击的约 14%,是目前全球最活跃的勒索组织。Qilin 用 Rust 编写,天然具备跨平台能力,能同时攻击 Windows 和 Linux 服务器,且 Rust 编译产物更难被传统基于签名的杀软检出。它的惯用手法是"双重勒索":先在加密前把数据偷出去,再加密文件,然后以"公开数据"威胁受害者付赎金。对于承担企业核心数据存储的服务器而言,这个策略极具破坏力。
两个威胁放在一起看,有一个共同点:初始入侵依赖的是未修补的已知漏洞和配置不当暴露的服务端口。这也是我们在为多家中小企业提供 IT 外包运维服务时反复强调的点。服务器安全不是一次性的加固,而是持续的动态维护——每当有新漏洞批量披露,都需要在 24-72 小时内完成评估和打补丁或临时隔离。如果企业缺乏专职安全运维人员,与有经验的外包团队建立长期服务关系,是成本最低的一种解决方案。本月 CUPS 漏洞的处理就是一个典型场景:识别受影响版本、制定临时隔离方案、等待并验证官方补丁上线,整个流程需要有人跟进落地。
建议企业管理员近期重点完成以下排查:①检查服务器 netstat -tlnp | grep 631,确认 CUPS 是否对外暴露;②更新 CUPS 至最新版本,或临时禁用共享打印;③审查最近的异常登录记录和文件变更;④确认离线备份完整且可恢复。如需专业协助,欢迎通过网站留言板联系我们,北京全市范围内可提供到场支持。