Support technique
Documentation
Connexion
Nous contacter
Le monde de la cybersécurité vient d'apprendre une nouvelle inquiétante : plus de 660 000 serveurs Rsync ont été exposés à des attaques potentielles en raison de six vulnérabilités récemment découvertes. L'une d'entre elles est une faille critique de débordement de mémoire tampon (CVE-2024-12084) qui permet l'exécution de code à distance (RCE) sur les serveurs.
Rsync est un utilitaire populaire utilisé pour la synchronisation de fichiers et le transfert de données sous Linux. De nombreux utilisateurs s'en servent pour les sauvegardes incrémentielles, la gestion des serveurs et la distribution publique de fichiers. Bien qu'il s'agisse d'un outil très efficace, ces nouvelles vulnérabilités mettent en évidence les dangers liés à l'utilisation de serveurs obsolètes.
Un examen plus approfondi des vulnérabilités de Rsync
Des chercheurs de Google Cloud et d'autres contributeurs indépendants ont découvert ces failles et ont montré comment elles pouvaient être enchaînées pour mener des attaques complexes. Essentiellement, ces vulnérabilités pourraient permettre à des attaquants de compromettre des systèmes par le biais d'un accès anonyme ou de serveurs mal configurés.
Ces six vulnérabilités affectent les versions de Rsync antérieures à la version 3.4.0, et leur gravité va de critique à modérée :
Débordement de la mémoire tampon du tas(CVE-2024-12084)
Celle-ci est la plus critique avec un score CVSS de 9.8. Il permet l'exécution de code arbitraire à cause de la façon dont les longueurs des sommes de contrôle sont gérées. Elle affecte les versions 3.2.7 à (mais pas) 3.4.0. Une solution consiste à recompiler Rsync avec des drapeaux spécifiques pour désactiver le support de SHA256/SHA512.
Fuite d'information via une pile non initialisée(CVE-2024-12085)
Cette faille peut exposer des données sensibles en manipulant les longueurs des sommes de contrôle. Elle affecte toutes les versions antérieures à la 3.4.0. La compilation avec des drapeaux pour initialiser le contenu de la pile peut atténuer ce problème. Le score CVSS est de 7.5 (élevé).
Le serveur divulgue des fichiers clients arbitraires(CVE-2024-12086)
En manipulant les valeurs des sommes de contrôle, les attaquants peuvent reconstruire les fichiers clients. Cette vulnérabilité affecte toutes les versions antérieures à la 3.4.0 et a un score CVSS de 6.1 (Moyen).
Traversée de chemin via l'option -inc-recursive(CVE-2024-12087)
Cette faille permet aux attaquants d'écrire des fichiers en dehors des répertoires prévus en exploitant les lacunes dans la vérification des liens symboliques. Elle affecte toutes les versions antérieures à la 3.4.0 et a un score CVSS de 6.5 (Moyen).
Contournement de l'option -safe-links(CVE-2024-12088)
Les attaquants peuvent utiliser des liens symboliques avec des chemins imbriqués pour écrire des fichiers arbitraires. Ceci affecte toutes les versions antérieures à 3.4.0 et a un score CVSS de 6.5 (Moyen).
Condition de course symbolique(CVE-2024-12747)
Cette vulnérabilité permet aux attaquants d'élever leurs privilèges en exploitant des conditions de course dans la façon dont les liens sont traités. Elle affecte toutes les versions antérieures à 3.4.0 et a un score CVSS de 5.6 (Moyen).
L'ampleur du problème
Une recherche sur Shodan a permis d'identifier plus de 660 000 serveurs Rsync exposés dans le monde. Fait alarmant, plus de 500 000 d'entre eux se trouvent en Chine, suivis par un plus petit nombre aux États-Unis, à Hong Kong et en Allemagne. La plupart des serveurs fonctionnent sur le port TCP 873 par défaut, tandis que d'autres utilisent le port 8873 pour Rsync via un tunnel SSH. Tous les serveurs exposés ne sont pas vulnérables, mais ceux qui autorisent les connexions anonymes sont les plus exposés.
Qui est concerné ?
Le CERT/CC a confirmé que les vulnérabilités affectent toutes les versions de Rsync inférieures à 3.4.0, ce qui pourrait avoir un impact sur les principales distributions Linux telles que Red Hat, Ubuntu, AlmaLinux et Gentoo. Les miroirs publics configurés pour un accès anonyme sont particulièrement vulnérables, car les attaquants n'ont besoin que d'un accès minimal pour exploiter les failles les plus graves.
Lorsqu'elles sont associées, certaines vulnérabilités (comme le débordement de mémoire tampon et la fuite d'informations) permettent aux attaquants d'exécuter du code sur des serveurs n'ayant qu'un accès anonyme en lecture. Les attaquants peuvent alors utiliser des serveurs malveillants pour cibler les clients connectés, voler des données sensibles ou injecter du code malveillant en altérant des fichiers clés tels que le fichier ~/.bashrc.
Que pouvez-vous faire pour rester en sécurité ?
Voici ce que les administrateurs de systèmes et les organisations doivent faire immédiatement :
- Mettez à jour vers Rsync 3.4.0 : Cette version corrige toutes les vulnérabilités signalées.
- Restreindre l'accès : Assurez-vous que des informations d'identification sont requises pour toutes les connexions au serveur Rsync.
- Bloquer le port TCP 873 : Empêche le démon Rsync d'être accessible à partir de réseaux non fiables.
- Utilisez les drapeaux de sécurité : Si vous ne pouvez pas mettre à jour immédiatement, recompiler Rsync avec des drapeaux spécifiques peut vous aider à minimiser votre exposition.
Conclusion
L'avis de Red Hat sur la CVE-2024-12084 souligne que la configuration par défaut de rsyncd permet la synchronisation anonyme de fichiers, ce qui rend les serveurs Rsync particulièrement vulnérables. C'est maintenant qu'il faut agir - n'attendez pas que les attaquants exploitent ces failles. Comme les tentatives d'exploitation sont susceptibles d'augmenter, les organisations utilisant Rsync doivent agir rapidement pour atténuer les risques et protéger leurs systèmes en mettant à jour vers la version 3.4.0.
Les sources de cet article comprennent un article de BleepingComputer.
