Tutoriales y Manuales
Entradas Mensuales
-
▼
2025
(Total:
152
)
-
▼
enero
(Total:
152
)
-
Facebook bloquea cualquier tema de Linux de Distro...
-
Ramsomware Makop y Lynx
-
NVIDIA pide explicaciones a Super Micro por vender...
-
Investigadores canadienses afirman que un ajuste d...
-
Vulnerabilidad crítica en Cacti (SNMP)
-
FARM discos duros Seagate
-
DeepSeek habría sido entrenada con datos robados a...
-
Alibaba presenta Qwen2.5-Max, su poderosa IA
-
Huawei dice tener un chip para IA igual de potente...
-
El fabricante de móviles Oppo es víctima de una gr...
-
DeepSeek puede crear malware para robar tarjetas d...
-
Historia del fabricante Asus
-
Instalar DeepSeek (destilado) con Ollama en tu ord...
-
Lossless Scaling: ¿Qué es y cómo funciona?
-
Una hora de anuncios para ver un simple vídeo de Y...
-
Herramientas gratuitas para transcribir de audio a...
-
OpenAI Operator: el agente de IA que automatiza ta...
-
DeepSeek Janus-Pro-7B, otro modelo de IA multimoda...
-
DeepSeek es víctima de un ataque DDoS
-
NVIDIA DLSS 4 (Tecnología de Escalado de nvidia)
-
Sony abandona los discos Blu-Ray grabables, MiniDi...
-
Vulnerabilidad en el framework Llama Stack de Meta...
-
PayPal pagará 2 millones de dólares por la filtrac...
-
DeepSeek, la herramienta china que revoluciona la ...
-
119 vulnerabilidades de seguridad en implementacio...
-
Cómo bloquear y demorar bots IA de Scraping web
-
Oracle, en negociaciones con ByteDance para compra...
-
Descubren que Elon Musk hacía trampas en los juego...
-
Por ser cliente de Movistar en España tienes grati...
-
HDMI 2.2 VS DisplayPort 2.1
-
Filtrados datos personales de asegurados de Asisa
-
Los fallos que cometió Ulbricht para ser detenido:...
-
Instagram desata las críticas de los usuarios espa...
-
Donald Trump indulta a Ross Ulbricht, creador del ...
-
Alia, la IA del Gobierno Español, es un desastre: ...
-
Stargate, un proyecto de Estados Unidos para inver...
-
Ataques del ransomware BlackBasta mediante Microso...
-
El mayor ataque DDoS registrado alcanzó 5,6Tb/s me...
-
Tras el éxito de Doom en documentos PDF, ahora tam...
-
Cae una banda de ciberestafadores que enviaba hast...
-
Cómo desactivar el Antimalware Service Executable ...
-
Herramienta Restablecer Windows
-
Seagate llega a los 36 TB con sus nuevos discos du...
-
YST (‘Yo soy tú’, como se autodenominó irónicament...
-
¿Qué es la pipeline?
-
Una chica de 28 años se enamora de ChatGPT
-
Copilot+ ya permite la búsqueda local
-
DORA: la normativa europea que obliga a los bancos...
-
Apple desactiva funciones de Apple Intelligence po...
-
La empresa de hosting GoDaddy, obligada a reforzar...
-
Domina los ficheros PDF con dos servicios Docker
-
OpenAI desarrolla una IA para prolongar la vida hu...
-
TikTok cierra en Estados Unidos
-
Vulnerabilidad permite eludir UEFI Secure Boot
-
Normativa Drones España 2025
-
Robados los datos personales de 97.000 aspirantes ...
-
¿Cómo volar un dron de noche? Esta es la normativa...
-
Expuestas 15.000 configuraciones robadas de FortiG...
-
Filtración masiva en China expone 1.500 millones d...
-
Un ciberataque expone la identidad de 160.000 guar...
-
La Policía de España advierte sobre una nueva técn...
-
Microsoft estrena protección del administrador de ...
-
Windows 11 con sólo 184 MB de RAM
-
Evilginx 3 para ataques man-in-the-middle mediante...
-
Cómo Barcelona se convirtió en un centro de empres...
-
El Gobierno de España anuncia la creación de un Ce...
-
RDP Bitmap Forensics para investigaciones DFIR
-
Más de 660.000 servidores Rsync expuestos a ataque...
-
El FBI elimina el malware chino PlugX en 4.250 ord...
-
Hiren's BootCD PE con Windows 11
-
Las chicas del ENIAC y las programadoras de los Co...
-
Trucos de Windows 11
-
Millones de cuentas vulnerables por fallo en OAuth...
-
Si no actualizas a Windows 11, no podrás usar Offi...
-
Jugar al DOOM dentro de un archivo PDF
-
Los mejores procesadores para jugar en 2025, ¿cuán...
-
"Explotación masiva" de los firewalls de Fortinet ...
-
Cómo funciona la sincronización en el almacenamien...
-
Parallels ya permite emular Windows y Linux las Ma...
-
Ransomware en Servidores ESXi: Amenazas, Vulnerabi...
-
Roban información con Infostealer Lumma mediante t...
-
Cómo compartir contraseñas en Google Chrome con "M...
-
El arquitecto jefe de Xeon cambia de Intel a Qualc...
-
Hackean cuentas de Path of Exile 2 tras robar una ...
-
Microsoft consigue que su IA se vuelva experta en ...
-
Cómo instalar Stremio en Raspberry Pi para conecta...
-
"Free our Feeds" quiere evitar que los millonarios...
-
Otra Botnet Mirai para realizar ataques DDoS
-
Telegram comienza a colaborar con las autoridades ...
-
Múltiples vulnerabilidades críticas en productos S...
-
La historia del trabajador número 8 de Apple que l...
-
Descubren cómo hackear el controlador USB-C del iP...
-
¿A qué temperatura empieza la CPU a envejecer?
-
Xiaomi presenta Redmi Note 14
-
La IA comenzará a subtitular los vídeos en VLC
-
Dispositivos Ivanti Connect infectados con malware...
-
Operaciones binarias: cómo funcionan en los ordena...
-
Tu cuenta de Bluesky en Mastodon
-
El Ministerio de Igualdad de España se gastó 211.0...
-
Google mejora la transferencia de archivos en Andr...
-
-
▼
enero
(Total:
152
)
-
►
2024
(Total:
1110
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Síguenos en:
Entradas populares
-
Cómo instalar DeepSeek en tu ordenador , para poder utilizarlo cuando quieras. Hay varias maneras de hacerlo, pero nosotros vamos a intentar... -
Primero llegó a través de los clientes de Movistar con un deco UHD, pero a partir de hoy, tienen la oportunidad de tener gratis durante 12 ... -
Si eres un usuario de Windows 10 y tu dispositivo está trabajando lento, entonces, es el antimalware service executable que tiene un consum...
Más de 660.000 servidores Rsync expuestos a ataques de ejecución de código
Más de 660.000 servidores Rsync expuestos son potencialmente vulnerables a seis nuevas vulnerabilidades, incluido un fallo de desbordamiento de búfer de montón de gravedad crítica que permite la ejecución remota de código en los servidores.
La vulnerabilidad de severidad crítica consiste en un manejo inadecuado de las longitudes de checksum controladas por atacantes, lo que provoca un desbordamiento de búfer de montículo ( heap-buffer-overflow). La explotación de esta vulnerabilidad permite a los atacantes escribir fuera de los límites, lo que podría conducir a una ejecución remota de código. Se ha asignado el identificador CVE-2024-12084 para esta vulnerabilidad.
Rsync es una herramienta de código abierto de sincronización de archivos y transferencia de datos valorada por su capacidad para realizar transferencias incrementales, reduciendo los tiempos de transferencia de datos y el uso de ancho de banda.
Admite transferencias de sistemas de archivos locales, transferencias remotas a través de protocolos seguros como SSH y sincronización directa de archivos a través de su propio demonio.
La herramienta es muy utilizada por sistemas de copia de seguridad como Rclone, DeltaCopy, ChronoSync, repositorios públicos de distribución de archivos y operaciones de gestión de servidores y nubes.
Los fallos de Rsync fueron descubiertos por Google Cloud e investigadores de seguridad independientes y pueden combinarse para crear potentes cadenas de explotación que conducen al compromiso remoto del sistema.
«En la CVE más grave, un atacante sólo necesita acceso de lectura anónimo a un servidor rsync, como un espejo público, para ejecutar código arbitrario en la máquina en la que se ejecuta el servidor», reza el boletín publicado en Openwall.
Los seis fallos se resumen a continuación:
- Heap Buffer Overflow (CVE-2024-12084): Vulnerability arising from improper handling of checksum lengths in the Rsync daemon, leading to out-of-bounds writes in the buffer. It affects versions 3.2.7 through < 3.4.0 and can enable arbitrary code execution. Mitigation involves compiling with specific flags to disable SHA256 and SHA512 digest support. (CVSS score: 9.8)
- Information Leak via Uninitialized Stack (CVE-2024-12085): Flaw allowing the leakage of uninitialized stack data when comparing file checksums. Attackers can manipulate checksum lengths to exploit this vulnerability. It affects all versions below 3.4.0, with mitigation achievable by compiling with the -ftrivial-auto-var-init=zero flag to initialize stack contents. (CVSS score: 7.5)
- Server Leaks Arbitrary Client Files (CVE-2024-12086): Vulnerability allowing a malicious server to enumerate and reconstruct arbitrary client files byte-by-byte using manipulated checksum values during file transfer. All versions below 3.4.0 are affected. (CVSS score: 6.1)
- Path Traversal via --inc-recursive Option (CVE-2024-12087): Issue that stems from inadequate symlink verification when using the --inc-recursive option. Malicious servers can write files outside the intended directories on the client. All versions below 3.4.0 are vulnerable. (CVSS score: 6.5)
- Bypass of --safe-links Option (CVE-2024-12088): Flaw which occurs when Rsync fails to properly verify symbolic link destinations containing other links. It results in path traversal and arbitrary file writes outside designated directories. All versions below 3.4.0 are impacted. (CVSS score: 6.5)
- Symbolic Link Race Condition (CVE-2024-12747): Vulnerability arising from a race condition in handling symbolic links. Exploitation may allow attackers to access sensitive files and escalate privileges. All versions below 3.4.0 are affected. (CVSS score: 5.6)
El Centro de Coordinación CERT (CERT/CC) emitió un boletín advirtiendo sobre los fallos de Rsync, marcando Red Hat, Arch, Gentoo, Ubuntu NixOS, AlmaLinux OS Foundation, y el Centro de Datos Triton como afectados.
Sin embargo, muchos otros proyectos y proveedores potencialmente afectados aún no han respondido.
«Cuando se combinan, las dos primeras vulnerabilidades (desbordamiento del búfer heap y fuga de información) permiten a un cliente ejecutar código arbitrario en un dispositivo que tenga un servidor Rsync en ejecución», advirtió CERT/CC.
«El cliente sólo necesita un acceso de lectura anónimo al servidor, como las réplicas públicas. Además, los atacantes pueden tomar el control de un servidor malicioso y leer/escribir archivos arbitrarios de cualquier cliente conectado. Se pueden extraer datos sensibles, como claves SSH, y ejecutar código malicioso sobrescribiendo archivos como ~/.bashrc o ~/.popt».
En su propio boletín sobre CVE-2024-12084, RedHat señaló que no existen mitigaciones prácticas, y que el fallo es explotable en la configuración por defecto de Rsync.
«Hay que tener en cuenta que la configuración por defecto de rsyncd permite la sincronización anónima de archivos, que está en riesgo de esta vulnerabilidad», explica RedHat.
«De lo contrario, un atacante necesitará credenciales válidas para los servidores que requieren autenticación».
Se recomienda a todos los usuarios que actualicen a la versión 3.4.0 lo antes posible.
Impacto generalizado
Una búsqueda en Shodan realizada por BleepingComputer muestra que hay más de 660.000 direcciones IP con servidores Rsync expuestos.
La mayoría de las direcciones IP se encuentran en China, con 521.000 expuestas, seguidas de Estados Unidos, Hong Kong, Corea y Alemania en números mucho menores.
De estos servidores Rsync expuestos, 306.517 se ejecutan en el puerto TCP por defecto 873 y 21.239 están escuchando en el puerto 8873, comúnmente utilizado para Rsync sobre túneles SSH.
Binary Edge también muestra un gran número de servidores Rsync expuestos, pero su número es menor, 424.087.
Aunque hay muchos servidores expuestos, no está claro si son vulnerables a las nuevas vulnerabilidades reveladas, ya que los atacantes necesitarían credenciales válidas o el servidor debe estar configurado para conexiones anónimas, algo que no hemos comprobado.
Se recomienda encarecidamente a todos los usuarios de Rsync que actualicen a la versión 3.4.0 o configuren el demonio para que requiera credenciales.
Para aquellos que no puedan actualizarse ahora, también pueden bloquear el puerto TCP 873 en el perímetro para que los servidores no sean accesibles remotamente.
Fuentes:
Etiquetas:
Entrada más reciente
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.