Seis vulnerabilidades ponen en peligro a más de 660.000 servidores Rsync

Ha habido algunas noticias preocupantes en el mundo de la ciberseguridad: más de 660.000 servidores Rsync han quedado expuestos a posibles ataques debido a seis vulnerabilidades descubiertas recientemente. Entre ellas se encuentra un fallo crítico de desbordamiento del búfer de montón (CVE-2024-12084) que permite la ejecución remota de código (RCE) en servidores.

Rsync es una popular utilidad utilizada para la sincronización de archivos y la transferencia de datos en Linux. Muchos usuarios confían en ella para realizar copias de seguridad incrementales, gestionar servidores y distribuir archivos públicamente. Aunque es una herramienta muy eficaz, estas nuevas vulnerabilidades ponen de manifiesto los peligros de tener servidores obsoletos.

Una mirada más de cerca a las vulnerabilidades de Rsync

Investigadores de Google Cloud y otros colaboradores independientes descubren estos fallos, y han demostrado cómo podrían encadenarse para realizar ataques complejos. Básicamente, estas vulnerabilidades podrían permitir a los atacantes comprometer sistemas a través de accesos anónimos o servidores mal configurados.

Estas seis vulnerabilidades afectan a versiones de Rsync anteriores a la 3.4.0, y su gravedad oscila entre crítica y moderada:

Desbordamiento del búfer Heap(CVE-2024-12084)

Este es el más crítico con una puntuación CVSS de 9,8. Permite la ejecución arbitraria de código debido a cómo se manejan las longitudes de las sumas de comprobación. Afecta a las versiones 3.2.7 hasta (pero no incluyendo) la 3.4.0. Una solución es recompilar Rsync con banderas específicas para deshabilitar el soporte de SHA256/SHA512.

Fuga de información a través de una pila no inicializada(CVE-2024-12085)

Este fallo puede exponer datos sensibles manipulando las longitudes de las sumas de comprobación. Afecta a todas las versiones anteriores a la 3.4.0. La compilación con banderas para inicializar el contenido de la pila puede mitigarlo. Tiene una puntuación CVSS de 7.5 (Alta).

El servidor filtra archivos arbitrarios del cliente(CVE-2024-12086)

Manipulando los valores de la suma de comprobación, los atacantes podrían reconstruir los archivos del cliente. Esta vulnerabilidad afecta a todas las versiones anteriores a la 3.4.0 y tiene una puntuación CVSS de 6.1 (Media).

Path Traversal a través de la opción -inc-recursive(CVE-2024-12087)

Este fallo permite a los atacantes escribir archivos fuera de los directorios previstos aprovechando las lagunas en la verificación de enlaces simbólicos. Afecta a todas las versiones anteriores a la 3.4.0 y tiene una puntuación CVSS de 6.5 (Media).

Anulación de la opción -safe-links(CVE-2024-12088)

Los atacantes pueden utilizar enlaces simbólicos con rutas anidadas para escribir archivos arbitrarios. Esto afecta a todas las versiones anteriores a la 3.4.0 y tiene una puntuación CVSS de 6.5 (Media).

Condición de carrera simbólica(CVE-2024-12747)

Esta vulnerabilidad permite a los atacantes escalar sus privilegios explotando condiciones de carrera en cómo se manejan los enlaces. Afecta a todas las versiones anteriores a la 3.4.0 y tiene una puntuación CVSS de 5.6 (Media).

La magnitud del problema

Una búsqueda en Shodan identificó más de 660.000 servidores Rsync expuestos en todo el mundo. Resulta alarmante que más de 500.000 de ellos se encuentren en China, seguidos de un número menor en Estados Unidos, Hong Kong y Alemania. La mayoría de los servidores se ejecutan en el puerto TCP 873 por defecto, mientras que otros utilizan el puerto 8873 para Rsync a través de túneles SSH. No todos los servidores expuestos son vulnerables, pero los que permiten conexiones anónimas son los que corren mayor riesgo.

¿A quién afecta?

CERT/CC ha confirmado que las vulnerabilidades afectan a todas las versiones de Rsync por debajo de la 3.4.0, lo que podría afectar a las principales distribuciones de Linux, como Red Hat, Ubuntu, AlmaLinux y Gentoo. Las réplicas públicas configuradas para acceso anónimo son especialmente vulnerables, ya que los atacantes necesitan un acceso mínimo para explotar los fallos más graves.

Cuando se combinan, algunas vulnerabilidades (como el desbordamiento del búfer de la pila y la fuga de información) permiten a los atacantes ejecutar código en servidores con acceso de lectura anónimo. Los atacantes pueden entonces utilizar servidores maliciosos para atacar a clientes conectados, robar datos confidenciales o inyectar código malicioso manipulando archivos clave como ~/.bashrc.

¿Qué puede hacer para mantenerse seguro?

Esto es lo que los administradores de sistemas y las organizaciones deben hacer inmediatamente:

• Actualice a Rsync 3.4.0: Esta versión corrige todas las vulnerabilidades notificadas.
• Restrinja el acceso: Asegúrese de que se requieren credenciales para todas las conexiones del servidor Rsync.
• Bloquee el puerto TCP 873: Evita que el demonio Rsync sea accesible desde redes no confiables.
• Utilice banderas de seguridad: Si no puedes actualizar inmediatamente, recompilar Rsync con banderas específicas puede ayudar a minimizar tu exposición.

Conclusión

El aviso de Red Hat sobre CVE-2024-12084 señala que la configuración por defecto de rsyncd permite la sincronización anónima de archivos, lo que deja a los servidores Rsync especialmente vulnerables. El momento de actuar es ahora: no espere a que los atacantes exploten estos fallos. Como es probable que aumenten los intentos de explotación, las organizaciones que utilizan Rsync deben actuar con rapidez para mitigar los riesgos y proteger sus sistemas actualizando a la versión 3.4.0.

Las fuentes de este artículo incluyen un artículo de BleepingComputer.

Resumen

Nombre del artículo

Seis vulnerabilidades ponen en peligro a más de 660.000 servidores Rsync

Descripción

Explore seis nuevas vulnerabilidades que afectan a más de 660.000 servidores Rsync y aprenda a proteger sus servidores con actualizaciones esenciales.

Autor

Rohan Timalsina

Nombre del editor

TuxCare

Logotipo de la editorial