Peste 660.000 de servere Rsync expuse sunt potențial vulnerabile la șase noi vulnerabilități, inclusiv o defecțiune critică de supraplăcere a memoriei tampon care permite executarea de cod la distanță pe servere.
Rsync este o unealtă open-source pentru sincronizarea fișierelor și transferul de date valorizată pentru capacitatea sa de a efectua transferuri incrementale, reducând timpul de transfer al datelor și utilizarea lățimii de bandă.
Acesta suportă transferuri de sisteme de fișiere locale, transferuri la distanță peste protocoale securizate precum SSH și sincronizare directă a fișierelor prin intermediul propriului său daemon.
Unealta este utilizată pe scară largă de sistemele de backup precum Rclone, DeltaCopy, ChronoSync, repositoriile publice de distribuție a fișierelor și operațiunile de gestionare a cloud-ului și serverelor.
Defecțiunile Rsync au fost descoperite de Google Cloud și de cercetători independenți în domeniul securității și pot fi combinate pentru a crea lanțuri puternice de exploatare care duc la compromiterea sistemului la distanță.
În cel mai sever CVE, un atacator are nevoie doar de acces de citire anonim la un server rsync, cum ar fi un mirror public, pentru a executa cod arbitrar pe mașina pe care rulează serverul,
cele șase defecțiuni sunt rezumate mai jos:
Centrul de Coordonare CERT (CERT/CC) a emis un buletin de avertizare despre defecțiunile Rsync, marcând Red Hat, Arch, Gentoo, Ubuntu NixOS, AlmaLinux OS Foundation și Triton Data Center ca fiind afectate.
Cu toate acestea, multe alte proiecte și furnizori potențial afectați nu au răspuns încă.
„Atunci când sunt combinate, primele două vulnerabilități (suprapunerea de memorie tampon și scurgerea de informații) permit unui client să execute cod arbitrar pe un dispozitiv pe care rulează un server Rsync,” a avertizat CERT/CC.
„Clientul are nevoie doar de acces de citire anonim la server, cum ar fi oglinzile publice. În plus, atacatorii pot prelua controlul unui server malicios și pot citi/scrie fișiere arbitrare ale oricărui client conectat. Date sensibile, cum ar fi cheile SSH, pot fi extrase, iar coduri malitioase pot fi executate prin suprascrierea fișierelor precum ~/.bashrc sau ~/.popt.”
În propriul său buletin despre CVE-2024-12084, RedHat a remarcat că nu există mijloace practice de atenuare, iar defecțiunea este exploatabilă în configurația implicită a Rsync.
„Rețineți că configurația implicită rsyncd a rsync permite sincronizarea fișierelor anonime, care este expusă la acestă vulnerabilitate,” explică RedHat.
„În caz contrar, un atacator va avea nevoie de credențiale valide pentru serverele care necesită autentificare.”
Toți utilizatorii sunt sfătuiți să facă upgrade la versiunea 3.4.0 cât mai curând posibil.
Una căutare Shodan efectuată de BleepingComputer arată că există peste 660.000 de adrese IP cu servere Rsync expuse.
Cele mai multe adrese IP sunt situate în China, cu 521.000 expuse, urmate de Statele Unite, Hong Kong, Coreea și Germania în numere mult mai mici.
Dintre aceste servere Rsync expuse, 306.517 rulează pe portul TCP implicit 873 și 21.239 sunt în ascultare pe portul 8873, folosit frecvent pentru tunneling Rsync peste SSH.
Binary Edge arată, de asemenea, un număr mare de servere Rsync expuse, dar numerele lor sunt mai mici, la 424.087.
Deși există multe servere expuse, nu este clar dacă acestea sunt vulnerabile la vulnerabilitățile nou dezvăluite, deoarece atacatorii ar avea nevoie de credențiale valide sau serverul trebuie să fie configurat pentru conexiuni anonime, ceea ce nu am testat.
Toți utilizatorii Rsync sunt sfătuiți să facă upgrade la versiunea 3.4.0 sau să configureze daemonul pentru a solicita credențiale.
Pentru cei care nu pot face upgrade acum, pot bloca, de asemenea, portul TCP 873 la perimetru pentru a nu permite accesul la distanță la servere.
Apache rezolvă bypass-ul de execuție de cod la distanță în serverul web Tomcat
Noua defecțiune zero-day RCE Cleo exploatată în atacuri de furt de date
Veeam avertizează asupra unei erori critice de RCE în Consola Furnizorului de Servicii
Ivanti avertizează asupra unei noi defecțiuni Connect Secure folosite în atacuri zero-day
Defecțiuni critice nepatchate afectează modulul Fancy Product Designer WordPress
Leave a Reply