(https://i.postimg.cc/Vs0Sjv0g/Linux-1.png) (https://postimg.cc/9zVF2Wpw)
Más de 660.000 servidores Rsync expuestos son potencialmente vulnerables a seis nuevas vulnerabilidades, incluida una falla de desbordamiento de búfer de pila de gravedad crítica que permite la ejecución remota de código en los servidores.
Rsync es una herramienta de sincronización de archivos y transferencia de datos de código abierto valorada por su capacidad de realizar transferencias incrementales, lo que reduce los tiempos de transferencia de datos y el uso de ancho de banda.
Admite transferencias de sistemas de archivos locales, transferencias remotas a través de protocolos seguros como SSH y sincronización directa de archivos a través de su propio demonio.
La herramienta es ampliamente utilizada por sistemas de respaldo como Rclone, DeltaCopy, ChronoSync, repositorios públicos de distribución de archivos y operaciones de administración de servidores y de la nube.
Los fallos de Rsync fueron descubiertos por Google Cloud e investigadores de seguridad independientes y pueden combinarse para crear poderosas cadenas de explotación que conducen a la vulneración remota del sistema.
"En el CVE más severo, un atacante solo requiere acceso de lectura anónimo a un servidor rsync, como un espejo público, para ejecutar código arbitrario en la máquina en la que se ejecuta el servidor", se lee en el boletín publicado en Openwall.
Los seis fallos se resumen a continuación:
Desbordamiento del búfer de montón ( CVE-2024-12084 ): vulnerabilidad que surge del manejo inadecuado de las longitudes de las sumas de comprobación en el demonio Rsync, lo que provoca escrituras fuera de los límites en el búfer. Afecta a las versiones 3.2.7 a < 3.4.0 y puede permitir la ejecución de código arbitrario. La mitigación implica la compilación con indicadores específicos para deshabilitar la compatibilidad con los resúmenes SHA256 y SHA512. ( Puntuación CVSS: 9,8 )
Fuga de información a través de una pila no inicializada ( CVE-2024-12085 ): falla que permite la fuga de datos de la pila no inicializada al comparar las sumas de comprobación de archivos. Los atacantes pueden manipular las longitudes de las sumas de comprobación para explotar esta vulnerabilidad. Afecta a todas las versiones anteriores a la 3.4.0, y se puede mitigar compilando con el indicador -ftrivial-auto-var-init=zero para inicializar el contenido de la pila. (Puntuación CVSS: 7,5 )
Fugas de archivos de cliente arbitrarios en servidores ( CVE-2024-12086 ) : vulnerabilidad que permite a un servidor malintencionado enumerar y reconstruir archivos de cliente arbitrarios byte a byte utilizando valores de suma de comprobación manipulados durante la transferencia de archivos. Todas las versiones anteriores a la 3.4.0 se ven afectadas. (Puntuación CVSS: 6,1 )
Recorrido de ruta mediante la opción --inc-recursive ( CVE-2024-12087 ) : problema que se origina en una verificación inadecuada de enlaces simbólicos al utilizar la opción --inc-recursive. Los servidores malintencionados pueden escribir archivos fuera de los directorios previstos en el cliente. Todas las versiones anteriores a la 3.4.0 son vulnerables. (Puntuación CVSS: 6,5 )
Omisión de la opción --safe-links ( CVE-2024-12088 ): falla que ocurre cuando Rsync no verifica correctamente los destinos de los enlaces simbólicos que contienen otros enlaces. Esto da como resultado un recorrido de ruta y escrituras de archivos arbitrarios fuera de los directorios designados. Todas las versiones anteriores a la 3.4.0 se ven afectadas. (Puntuación CVSS: 6,5 )
Condición de carrera de vínculo simbólico ( CVE-2024-12747 ) : vulnerabilidad que surge de una condición de carrera en el manejo de vínculos simbólicos. Su explotación puede permitir a los atacantes acceder a archivos confidenciales y escalar privilegios. Todas las versiones anteriores a la 3.4.0 se ven afectadas. (Puntuación CVSS: 5,6 )
El Centro de Coordinación CERT (CERT/CC) emitió un boletín de advertencia sobre las fallas de Rsync, señalando a Red Hat, Arch, Gentoo, Ubuntu NixOS, AlmaLinux OS Foundation y el Centro de Datos Triton como afectados.
Sin embargo, muchos otros proyectos y proveedores potencialmente afectados aún no han respondido.
"Cuando se combinan, las dos primeras vulnerabilidades (desbordamiento del búfer de pila y fuga de información) permiten que un cliente ejecute código arbitrario en un dispositivo que tiene un servidor Rsync en ejecución", advirtió CERT/CC.
"El cliente solo requiere acceso de lectura anónimo al servidor, como espejos públicos. Además, los atacantes pueden tomar el control de un servidor malicioso y leer/escribir archivos arbitrarios de cualquier cliente conectado. Se pueden extraer datos confidenciales, como claves SSH, y se puede ejecutar código malicioso sobrescribiendo archivos como ~/.bashrc o ~/.popt".
En su propio boletín sobre CVE-2024-12084, RedHat señaló que no existen mitigaciones prácticas y que la falla se puede explotar en la configuración predeterminada de Rsync.
"Tenga en cuenta que la configuración predeterminada de rsyncd permite la sincronización anónima de archivos, que corre el riesgo de sufrir esta vulnerabilidad", explica RedHat.
"De lo contrario, un atacante necesitará credenciales válidas para los servidores que requieren autenticación".
Se recomienda a todos los usuarios que actualicen a la versión 3.4.0 lo antes posible.
Fuente:
BleepìngComputer
https://www.bleepingcomputer.com/news/security/over-660-000-rsync-servers-exposed-to-code-execution-attacks/