Tutoriales y Manuales
Entradas Mensuales
-
▼
2025
(Total:
86
)
-
▼
enero
(Total:
86
)
-
RDP Bitmap Forensics para investigaciones DFIR
-
Más de 660.000 servidores Rsync expuestos a ataque...
-
El FBI elimina el malware chino PlugX en 4.250 ord...
-
Hiren's BootCD PE con Windows 11
-
Las chicas del ENIAC y las programadoras de los Co...
-
Trucos de Windows 11
-
Millones de cuentas vulnerables por fallo en OAuth...
-
Si no actualizas a Windows 11, no podrás usar Offi...
-
Jugar al DOOM dentro de un archivo PDF
-
Los mejores procesadores para jugar en 2025, ¿cuán...
-
"Explotación masiva" de los firewalls de Fortinet ...
-
Cómo funciona la sincronización en el almacenamien...
-
Parallels ya permite emular Windows y Linux las Ma...
-
Ransomware en Servidores ESXi: Amenazas, Vulnerabi...
-
Roban información con Infostealer Lumma mediante t...
-
Cómo compartir contraseñas en Google Chrome con "M...
-
El arquitecto jefe de Xeon cambia de Intel a Qualc...
-
Hackean cuentas de Path of Exile 2 tras robar una ...
-
Microsoft consigue que su IA se vuelva experta en ...
-
Cómo instalar Stremio en Raspberry Pi para conecta...
-
"Free our Feeds" quiere evitar que los millonarios...
-
Otra Botnet Mirai para realizar ataques DDoS
-
Telegram comienza a colaborar con las autoridades ...
-
Múltiples vulnerabilidades críticas en productos S...
-
La historia del trabajador número 8 de Apple que l...
-
Descubren cómo hackear el controlador USB-C del iP...
-
¿A qué temperatura empieza la CPU a envejecer?
-
Xiaomi presenta Redmi Note 14
-
La IA comenzará a subtitular los vídeos en VLC
-
Dispositivos Ivanti Connect infectados con malware...
-
Operaciones binarias: cómo funcionan en los ordena...
-
Tu cuenta de Bluesky en Mastodon
-
El Ministerio de Igualdad de España se gastó 211.0...
-
Google mejora la transferencia de archivos en Andr...
-
Así hackearon a Telefónica: un infostealer e ingen...
-
Google Daily Listen, una IA que resume tus noticia...
-
MAGIS TV PRO: cómo descargar BlueStacks 5 para pod...
-
Telefónica sufre la filtración de los datos de su ...
-
OFFAT: OFFensive API Tester OWASP
-
Ejemplos ataques DDoS capa 7 con MHDDoS
-
HDMI 2.2: promete 96 Gbps y el fin de los problema...
-
Jeff Bezos competirá con Elon Musk en España por o...
-
Amenazan con exponer ubicaciones de más de 40 mill...
-
¿Qué es Netflow e IPFIX? Monitoreo y Análisis de T...
-
Activar SATA Link Power Management en OPNsense
-
Más de 4.000 puertas traseras usando webshells reg...
-
Automatizar copias de seguridad en OPNsense
-
Optimizar rendimiento de OPNsense: Tunables
-
Microsoft Phi-4, su IA más poderosa que ahora es d...
-
Corsair Xeneon Edge, una pantalla táctil de 14,5" ...
-
Raspberry Pi 5 con 16GB
-
Establecer un clúster OPNsense HA (Alta Disponibil...
-
El fin del soporte para Windows 10 en octubre de 2...
-
Comando netsh en Windows: ejemplos de uso
-
Los cambios en la moderación de Meta permiten llam...
-
AMD anuncia sus nuevos procesadores gaming de sobr...
-
Los nuevos procesadores Core Ultra 200 de Intel de...
-
Razer presenta un prototipo de silla con calefacci...
-
¿Quieres un adaptador de cassette con Bluetooth? ¡...
-
Megafiltración de datos en call center expone a 7 ...
-
Túnel SSH port forwarding: Local, remote y dynamic
-
Herramientas de IA gratuitas que debes conocer
-
ChatGPT reconoce que pierden dinero incluso con la...
-
Hackean los datos de los miembros de la argentina ...
-
Publicar automáticamente de un Feed RSS a Telegram...
-
¿Qué es un webhook?
-
Nvidia presenta las nuevas tarjetas gráficas GeFor...
-
Qué es el rate limit y por qué debes limitar petic...
-
Monitorización HDD y SSD con SMART en OPNsense con...
-
¿Qué es la tecnología HARM de discos duros? ¿Qué i...
-
Alternativas gratuitas al Escritorio Remoto: RustD...
-
Uptime Kuma, monitoreo de servicios y más
-
El CAPTCHA de DOOM
-
La importancia de la pasta térmica del procesador
-
Intel XMP VS AMD EXPO
-
Vulnerabilidad crítica en Nuclei que permite ejecu...
-
Detenido un soldado estadounidense de 20 años que ...
-
DoubleClickjacking: la nueva amenaza de los dobles...
-
OPNsense IPv6 tunnel con Hurricane Electric Tunnel...
-
Configurar Dynamic DNS (DDNS) en OPNsense
-
Cómo escanear documentos y convertirlos a PDF dire...
-
¿Qué es la ventana de contexto en IA?
-
Estados Unidos ofrece 10 millones de dólares por l...
-
Apple pagará 95 millones de dólares para resolver ...
-
Exploit DoS para LDAP Nightmare (CVE-2024-49112)
-
0.0.0.0 : ¿Qué es la Dirección IP “cero” ?
-
-
▼
enero
(Total:
86
)
-
►
2024
(Total:
1110
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Síguenos en:
Entradas populares
-
Telefónica, una importante empresa de telecomunicaciones, confirmó recientemente una brecha en su sistema interno de venta de billetes, que ... -
Microsoft ha tomado una estrategia más agresiva para obligar a sus usuarios a actualizarse a Windows 11. La compañía reveló que Windows 1... -
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
Más de 660.000 servidores Rsync expuestos a ataques de ejecución de código
Más de 660.000 servidores Rsync expuestos son potencialmente vulnerables a seis nuevas vulnerabilidades, incluido un fallo de desbordamiento de búfer de montón de gravedad crítica que permite la ejecución remota de código en los servidores.
La vulnerabilidad de severidad crítica consiste en un manejo inadecuado de las longitudes de checksum controladas por atacantes, lo que provoca un desbordamiento de búfer de montículo ( heap-buffer-overflow). La explotación de esta vulnerabilidad permite a los atacantes escribir fuera de los límites, lo que podría conducir a una ejecución remota de código. Se ha asignado el identificador CVE-2024-12084 para esta vulnerabilidad.
Rsync es una herramienta de código abierto de sincronización de archivos y transferencia de datos valorada por su capacidad para realizar transferencias incrementales, reduciendo los tiempos de transferencia de datos y el uso de ancho de banda.
Admite transferencias de sistemas de archivos locales, transferencias remotas a través de protocolos seguros como SSH y sincronización directa de archivos a través de su propio demonio.
La herramienta es muy utilizada por sistemas de copia de seguridad como Rclone, DeltaCopy, ChronoSync, repositorios públicos de distribución de archivos y operaciones de gestión de servidores y nubes.
Los fallos de Rsync fueron descubiertos por Google Cloud e investigadores de seguridad independientes y pueden combinarse para crear potentes cadenas de explotación que conducen al compromiso remoto del sistema.
«En la CVE más grave, un atacante sólo necesita acceso de lectura anónimo a un servidor rsync, como un espejo público, para ejecutar código arbitrario en la máquina en la que se ejecuta el servidor», reza el boletín publicado en Openwall.
Los seis fallos se resumen a continuación:
- Heap Buffer Overflow (CVE-2024-12084): Vulnerability arising from improper handling of checksum lengths in the Rsync daemon, leading to out-of-bounds writes in the buffer. It affects versions 3.2.7 through < 3.4.0 and can enable arbitrary code execution. Mitigation involves compiling with specific flags to disable SHA256 and SHA512 digest support. (CVSS score: 9.8)
- Information Leak via Uninitialized Stack (CVE-2024-12085): Flaw allowing the leakage of uninitialized stack data when comparing file checksums. Attackers can manipulate checksum lengths to exploit this vulnerability. It affects all versions below 3.4.0, with mitigation achievable by compiling with the -ftrivial-auto-var-init=zero flag to initialize stack contents. (CVSS score: 7.5)
- Server Leaks Arbitrary Client Files (CVE-2024-12086): Vulnerability allowing a malicious server to enumerate and reconstruct arbitrary client files byte-by-byte using manipulated checksum values during file transfer. All versions below 3.4.0 are affected. (CVSS score: 6.1)
- Path Traversal via --inc-recursive Option (CVE-2024-12087): Issue that stems from inadequate symlink verification when using the --inc-recursive option. Malicious servers can write files outside the intended directories on the client. All versions below 3.4.0 are vulnerable. (CVSS score: 6.5)
- Bypass of --safe-links Option (CVE-2024-12088): Flaw which occurs when Rsync fails to properly verify symbolic link destinations containing other links. It results in path traversal and arbitrary file writes outside designated directories. All versions below 3.4.0 are impacted. (CVSS score: 6.5)
- Symbolic Link Race Condition (CVE-2024-12747): Vulnerability arising from a race condition in handling symbolic links. Exploitation may allow attackers to access sensitive files and escalate privileges. All versions below 3.4.0 are affected. (CVSS score: 5.6)
El Centro de Coordinación CERT (CERT/CC) emitió un boletín advirtiendo sobre los fallos de Rsync, marcando Red Hat, Arch, Gentoo, Ubuntu NixOS, AlmaLinux OS Foundation, y el Centro de Datos Triton como afectados.
Sin embargo, muchos otros proyectos y proveedores potencialmente afectados aún no han respondido.
«Cuando se combinan, las dos primeras vulnerabilidades (desbordamiento del búfer heap y fuga de información) permiten a un cliente ejecutar código arbitrario en un dispositivo que tenga un servidor Rsync en ejecución», advirtió CERT/CC.
«El cliente sólo necesita un acceso de lectura anónimo al servidor, como las réplicas públicas. Además, los atacantes pueden tomar el control de un servidor malicioso y leer/escribir archivos arbitrarios de cualquier cliente conectado. Se pueden extraer datos sensibles, como claves SSH, y ejecutar código malicioso sobrescribiendo archivos como ~/.bashrc o ~/.popt».
En su propio boletín sobre CVE-2024-12084, RedHat señaló que no existen mitigaciones prácticas, y que el fallo es explotable en la configuración por defecto de Rsync.
«Hay que tener en cuenta que la configuración por defecto de rsyncd permite la sincronización anónima de archivos, que está en riesgo de esta vulnerabilidad», explica RedHat.
«De lo contrario, un atacante necesitará credenciales válidas para los servidores que requieren autenticación».
Se recomienda a todos los usuarios que actualicen a la versión 3.4.0 lo antes posible.
Impacto generalizado
Una búsqueda en Shodan realizada por BleepingComputer muestra que hay más de 660.000 direcciones IP con servidores Rsync expuestos.
La mayoría de las direcciones IP se encuentran en China, con 521.000 expuestas, seguidas de Estados Unidos, Hong Kong, Corea y Alemania en números mucho menores.
De estos servidores Rsync expuestos, 306.517 se ejecutan en el puerto TCP por defecto 873 y 21.239 están escuchando en el puerto 8873, comúnmente utilizado para Rsync sobre túneles SSH.
Binary Edge también muestra un gran número de servidores Rsync expuestos, pero su número es menor, 424.087.
Aunque hay muchos servidores expuestos, no está claro si son vulnerables a las nuevas vulnerabilidades reveladas, ya que los atacantes necesitarían credenciales válidas o el servidor debe estar configurado para conexiones anónimas, algo que no hemos comprobado.
Se recomienda encarecidamente a todos los usuarios de Rsync que actualicen a la versión 3.4.0 o configuren el demonio para que requiera credenciales.
Para aquellos que no puedan actualizarse ahora, también pueden bloquear el puerto TCP 873 en el perímetro para que los servidores no sean accesibles remotamente.
Fuentes:
Etiquetas:
Entrada más reciente
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.