Експерти Google Cloud і незалежні дослідники виявили шість вразливостей в Rsync, включаючи критичний баг переповнення буфера хіпа, який дозволяє віддалено виконувати код на вразливих серверах.

Rsync є популярним інструментом з відкритим кодом для синхронізації файлів і передачі даних. Інструмент широко застосовується в системах резервного копіювання, таких як Rclone, DeltaCopy, ChronoSync, репозиторіях публічних файлових дистрибутивів, а також в системах управління хмарами і серверами.

Дослідники попереджають, що виявлені в Rsync вразливості можна об’єднати в ланцюжок, що призведе до повної віддаленої компрометації системи.

«У випадку найбільш небезпечного CVE зловмиснику достатньо отримати анонімний доступ на читання до сервера rsync (наприклад, до публічного дзеркала), щоб виконати довільний код на машині, де працює сервер», — йдеться в бюлетені безпеки Openwall.

CERT/CC вже випустив власний бюлетень безпеки, попереджаючи про вразливості Rsync. Експерти відзначають, що проблеми стосуються Red Hat, Arch, Gentoo, Ubuntu NixOS, AlmaLinux OS Foundation і Triton Data Center. Однак повний список вразливих проектів і рішень може бути набагато довшим.

У бюлетені, присвяченому проблемі CVE-2024-12084, розробники RedHat відзначають, що будь-яких обхідних заходів для захисту від цього багу не існує, і вразливість може використовуватися в конфігурації Rsync за замовчуванням.

Як зазначає видання Bleeping Computer, пошук в Shodan дозволяє виявити в мережі понад 660 000 IP-адрес, пов’язаних з серверами Rsync. Більшість IP-адрес розташовані в Китаї (521 000), за ним слідують США, Гонконг, Корея і Німеччина.

З цих серверів Rsync 306 517 працюють на стандартному TCP-порту 873, а ще 21 239 прослуховують порт 8873, який зазвичай використовується для тунелювання Rsync через SSH.

Невідомо, який відсоток цих серверів схильний до нових вразливостей, оскільки для атаки зловмисникам можуть знадобитися діючі облікові дані або сервер повинен бути налаштований на роботу з анонімними з’єднаннями.

Як би там не було, всім користувачам Rsync настійно рекомендується якомога швидше оновитися до версії 3.4.0 або налаштувати демон таким чином, щоб він вимагав введення облікових даних.