Technischer Support
Dokumentation
Anmeldung
Kontakt
Es gibt besorgniserregende Neuigkeiten aus der Welt der Cybersicherheit: Über 660.000 Rsync-Server sind aufgrund von sechs neu entdeckten Sicherheitslücken potenziellen Angriffen ausgesetzt. Darunter befindet sich ein kritischer Heap-Puffer-Überlauf (CVE-2024-12084), der die Remotecodeausführung (RCE) auf Servern ermöglicht.
Rsync ist ein beliebtes Dienstprogramm für die Dateisynchronisierung und Datenübertragung unter Linux. Viele Benutzer verlassen sich darauf für inkrementelle Backups, Serververwaltung und die öffentliche Verteilung von Dateien. Obwohl es ein sehr effizientes Tool ist, zeigen diese neuen Schwachstellen die Gefahren veralteter Server auf.
Ein genauerer Blick auf die Rsync-Schwachstellen
Forscher bei Google Cloud und andere unabhängige Mitarbeiter haben diese Schwachstellen entdeckt und gezeigt, wie diese für komplexe Angriffe miteinander verknüpft werden können. Im Wesentlichen könnten diese Schwachstellen es Angreifern ermöglichen, Systeme durch anonymen Zugriff oder schlecht konfigurierte Server zu kompromittieren.
Diese sechs Sicherheitslücken betreffen Rsync-Versionen, die älter als 3.4.0 sind, und ihr Schweregrad reicht von kritisch bis mittelschwer:
Heap-Pufferüberlauf(CVE-2024-12084)
Dies ist die kritischste Schwachstelle mit einem CVSS-Score von 9.8. Sie ermöglicht die Ausführung von beliebigem Code aufgrund der Art und Weise, wie die Länge von Prüfsummen gehandhabt wird. Er betrifft die Versionen 3.2.7 bis (aber nicht einschließlich) 3.4.0. Ein Workaround ist die Neukompilierung von Rsync mit speziellen Flags, um die SHA256/SHA512-Unterstützung zu deaktivieren.
Informationsleck über nicht initialisierten Stapel(CVE-2024-12085)
Dieser Fehler kann sensible Daten durch die Manipulation von Prüfsummenlängen preisgeben. Er betrifft alle Versionen vor 3.4.0. Das Kompilieren mit Flags zur Initialisierung von Stack-Inhalten kann dies abschwächen. Er hat einen CVSS-Score von 7.5 (Hoch).
Server leckt beliebige Client-Dateien(CVE-2024-12086)
Durch Manipulation von Prüfsummenwerten können Angreifer Client-Dateien rekonstruieren. Diese Sicherheitslücke betrifft alle Versionen vor 3.4.0 und hat einen CVSS-Score von 6.1 (Mittel).
Pfadumgehung über die Option -inc-recursive(CVE-2024-12087)
Dieser Fehler ermöglicht es Angreifern, Dateien außerhalb der vorgesehenen Verzeichnisse zu schreiben, indem sie die Lücken in der Symlink-Überprüfung ausnutzen. Er betrifft alle Versionen vor 3.4.0 und hat einen CVSS-Score von 6.5 (Medium).
Umgehung der Option -safe-links(CVE-2024-12088)
Angreifer können symbolische Links mit verschachtelten Pfaden verwenden, um beliebige Dateien zu schreiben. Dies betrifft alle Versionen vor 3.4.0 und hat einen CVSS-Score von 6.5 (Medium).
Symbolische Wettlaufbedingung(CVE-2024-12747)
Diese Schwachstelle ermöglicht es Angreifern, ihre Privilegien zu erweitern, indem sie Race Conditions bei der Behandlung von Links ausnutzen. Sie betrifft alle Versionen vor 3.4.0 und hat einen CVSS-Score von 5.6 (Medium).
Das Ausmaß des Problems
Eine Shodan-Suche ergab über 660.000 ungeschützte Rsync-Server weltweit. Erschreckenderweise befinden sich mehr als 500.000 davon in China, gefolgt von einer kleineren Anzahl in den Vereinigten Staaten, Hongkong und Deutschland. Die meisten Server laufen über den Standard-TCP-Port 873, während andere den Port 8873 für Rsync über SSH-Tunneling verwenden. Nicht alle gefährdeten Server sind anfällig, aber diejenigen, die anonyme Verbindungen zulassen, sind am stärksten gefährdet.
Wer ist davon betroffen?
CERT/CC hat bestätigt, dass die Schwachstellen alle Rsync-Versionen unterhalb von 3.4.0 betreffen, was sich auf die wichtigsten Linux-Distributionen wie Red Hat, Ubuntu, AlmaLinux und Gentoo auswirken kann. Öffentliche Mirrors, die für anonymen Zugriff konfiguriert sind, sind besonders anfällig, da Angreifer nur minimalen Zugriff benötigen, um die schwerwiegendsten Schwachstellen auszunutzen.
In Kombination ermöglichen bestimmte Schwachstellen (wie der Heap-Puffer-Überlauf und das Informationsleck) Angreifern die Ausführung von Code auf Servern mit einfachem anonymen Lesezugriff. Angreifer können dann bösartige Server nutzen, um verbundene Clients anzugreifen und sensible Daten zu stehlen oder bösartigen Code einzuschleusen, indem sie Schlüsseldateien wie ~/.bashrc.
Was können Sie tun, um sicher zu sein?
Hier ist, was Systemadministratoren und Unternehmen sofort tun sollten:
- Aktualisieren Sie auf Rsync 3.4.0: Diese Version behebt alle gemeldeten Sicherheitslücken.
- Zugang einschränken: Stellen Sie sicher, dass für alle Rsync-Serververbindungen Anmeldeinformationen erforderlich sind.
- Blockieren Sie TCP Port 873: Verhindern Sie, dass der Rsync-Daemon von nicht vertrauenswürdigen Netzwerken aus zugänglich ist.
- Verwenden Sie Sicherheitsflags: Wenn Sie nicht sofort aktualisieren können, kann die Neukompilierung von Rsync mit bestimmten Flags dazu beitragen, Ihre Gefährdung zu minimieren.
Schlussfolgerung
Das Advisory von Red Hat zu CVE-2024-12084 weist darauf hin, dass die Standardkonfiguration von rsyncd anonyme Dateisynchronisationen erlaubt, was Rsync-Server besonders anfällig macht. Die Zeit zum Handeln ist jetzt - warten Sie nicht, bis Angreifer diese Schwachstellen ausnutzen. Da die Zahl der Angriffsversuche wahrscheinlich zunehmen wird, müssen Unternehmen, die Rsync verwenden, schnell handeln, um die Risiken zu mindern und ihre Systeme durch ein Update auf Version 3.4.0 zu schützen.
Die Quellen für diesen Artikel sind unter anderem ein Bericht von BleepingComputer.
