Más de 660.000 servidores Rsync expuestos a ataques de ejecución de código

Más de 660.000 servidores Rsync expuestos son potencialmente vulnerables a seis nuevas vulnerabilidades, incluido un fallo de desbordamiento de búfer de montón de gravedad crítica que permite la ejecución remota de código en los servidores.

La vulnerabilidad de severidad crítica consiste en un manejo inadecuado de las longitudes de checksum controladas por atacantes, lo que provoca un desbordamiento de búfer de montículo ( heap-buffer-overflow). La explotación de esta vulnerabilidad permite a los atacantes escribir fuera de los límites, lo que podría conducir a una ejecución remota de código. Se ha asignado el identificador CVE-2024-12084 para esta vulnerabilidad.

Rsync es una herramienta de código abierto de sincronización de archivos y transferencia de datos valorada por su capacidad para realizar transferencias incrementales, reduciendo los tiempos de transferencia de datos y el uso de ancho de banda.

Admite transferencias de sistemas de archivos locales, transferencias remotas a través de protocolos seguros como SSH y sincronización directa de archivos a través de su propio demonio.

La herramienta es muy utilizada por sistemas de copia de seguridad como Rclone, DeltaCopy, ChronoSync, repositorios públicos de distribución de archivos y operaciones de gestión de servidores y nubes.

Los fallos de Rsync fueron descubiertos por Google Cloud e investigadores de seguridad independientes y pueden combinarse para crear potentes cadenas de explotación que conducen al compromiso remoto del sistema.

«En la CVE más grave, un atacante sólo necesita acceso de lectura anónimo a un servidor rsync, como un espejo público, para ejecutar código arbitrario en la máquina en la que se ejecuta el servidor», reza el boletín publicado en Openwall.

Los seis fallos se resumen a continuación:

• Heap Buffer Overflow (CVE-2024-12084): Vulnerability arising from improper handling of checksum lengths in the Rsync daemon, leading to out-of-bounds writes in the buffer. It affects versions 3.2.7 through < 3.4.0 and can enable arbitrary code execution. Mitigation involves compiling with specific flags to disable SHA256 and SHA512 digest support. (CVSS score: 9.8)
• Information Leak via Uninitialized Stack (CVE-2024-12085): Flaw allowing the leakage of uninitialized stack data when comparing file checksums. Attackers can manipulate checksum lengths to exploit this vulnerability. It affects all versions below 3.4.0, with mitigation achievable by compiling with the -ftrivial-auto-var-init=zero flag to initialize stack contents. (CVSS score: 7.5)
• Server Leaks Arbitrary Client Files (CVE-2024-12086): Vulnerability allowing a malicious server to enumerate and reconstruct arbitrary client files byte-by-byte using manipulated checksum values during file transfer. All versions below 3.4.0 are affected. (CVSS score: 6.1)
• Path Traversal via --inc-recursive Option (CVE-2024-12087): Issue that stems from inadequate symlink verification when using the --inc-recursive option. Malicious servers can write files outside the intended directories on the client. All versions below 3.4.0 are vulnerable. (CVSS score: 6.5)
• Bypass of --safe-links Option (CVE-2024-12088): Flaw which occurs when Rsync fails to properly verify symbolic link destinations containing other links. It results in path traversal and arbitrary file writes outside designated directories. All versions below 3.4.0 are impacted. (CVSS score: 6.5)
• Symbolic Link Race Condition (CVE-2024-12747): Vulnerability arising from a race condition in handling symbolic links. Exploitation may allow attackers to access sensitive files and escalate privileges. All versions below 3.4.0 are affected. (CVSS score: 5.6)

El Centro de Coordinación CERT (CERT/CC) emitió un boletín advirtiendo sobre los fallos de Rsync, marcando Red Hat, Arch, Gentoo, Ubuntu NixOS, AlmaLinux OS Foundation, y el Centro de Datos Triton como afectados.

Sin embargo, muchos otros proyectos y proveedores potencialmente afectados aún no han respondido.

«Cuando se combinan, las dos primeras vulnerabilidades (desbordamiento del búfer heap y fuga de información) permiten a un cliente ejecutar código arbitrario en un dispositivo que tenga un servidor Rsync en ejecución», advirtió CERT/CC.

«El cliente sólo necesita un acceso de lectura anónimo al servidor, como las réplicas públicas. Además, los atacantes pueden tomar el control de un servidor malicioso y leer/escribir archivos arbitrarios de cualquier cliente conectado. Se pueden extraer datos sensibles, como claves SSH, y ejecutar código malicioso sobrescribiendo archivos como ~/.bashrc o ~/.popt».

En su propio boletín sobre CVE-2024-12084, RedHat señaló que no existen mitigaciones prácticas, y que el fallo es explotable en la configuración por defecto de Rsync.

«Hay que tener en cuenta que la configuración por defecto de rsyncd permite la sincronización anónima de archivos, que está en riesgo de esta vulnerabilidad», explica RedHat.

«De lo contrario, un atacante necesitará credenciales válidas para los servidores que requieren autenticación».

Se recomienda a todos los usuarios que actualicen a la versión 3.4.0 lo antes posible.

Impacto generalizado

Una búsqueda en Shodan realizada por BleepingComputer muestra que hay más de 660.000 direcciones IP con servidores Rsync expuestos.

La mayoría de las direcciones IP se encuentran en China, con 521.000 expuestas, seguidas de Estados Unidos, Hong Kong, Corea y Alemania en números mucho menores.

De estos servidores Rsync expuestos, 306.517 se ejecutan en el puerto TCP por defecto 873 y 21.239 están escuchando en el puerto 8873, comúnmente utilizado para Rsync sobre túneles SSH.

Binary Edge también muestra un gran número de servidores Rsync expuestos, pero su número es menor, 424.087.

Aunque hay muchos servidores expuestos, no está claro si son vulnerables a las nuevas vulnerabilidades reveladas, ya que los atacantes necesitarían credenciales válidas o el servidor debe estar configurado para conexiones anónimas, algo que no hemos comprobado.

Se recomienda encarecidamente a todos los usuarios de Rsync que actualicen a la versión 3.4.0 o configuren el demonio para que requiera credenciales.

Para aquellos que no puedan actualizarse ahora, también pueden bloquear el puerto TCP 873 en el perímetro para que los servidores no sean accesibles remotamente.

Fuentes:

https://www.bleepingcomputer.com/news/security/over-660-000-rsync-servers-exposed-to-code-execution-attacks/