【安全圈】超过 660,000 个 Rsync 服务器遭受代码执行攻击
2025-1-16 11:1:0 Author: mp.weixin.qq.com(查看原文) 阅读量:0 收藏

关键词

安全漏洞

超过 660,000 台暴露的 Rsync 服务器可能受到六个新漏洞的攻击,其中包括一个严重程度极高的堆缓冲区溢出漏洞,该漏洞允许在服务器上执行远程代码。

Rsync 是一个开源文件同步和数据传输工具,因其执行增量传输的能力而受到重视,从而减少了数据传输时间和带宽使用量。

它支持本地文件系统传输、通过 SSH 等安全协议进行远程传输以及通过其自己的守护进程进行直接文件同步。

该工具被 Rclone、DeltaCopy、ChronoSync 等备份系统、公共文件分发存储库以及云和服务器管理操作广泛使用。

Rsync 漏洞是由 Google Cloud 和独立安全研究人员发现的,可以结合起来创建强大的利用链,从而导致远程系统入侵。

Openwall 发布的公告称:“在最严重的 CVE 中,攻击者只需要对 rsync 服务器(例如公共镜像)进行匿名读取访问,即可在运行该服务器的机器上执行任意代码。”

这六个缺陷总结如下:

  • 堆缓冲区溢出 (CVE-2024-12084):由于 Rsync 守护进程对校验和长度处理不当而产生的漏洞,导致缓冲区越界写入。它影响 3.2.7 至 3.4.0 以下版本,并可实现任意代码执行。缓解措施包括使用特定标志进行编译以禁用 SHA256 和 SHA512 摘要支持。(CVSS 评分:9.8)

  • 通过未初始化堆栈泄露信息 (CVE-2024-12085):此漏洞允许在比较文件校验和时泄露未初始化堆栈数据。攻击者可以操纵校验和长度来利用此漏洞。它会影响 3.4.0 以下的所有版本,可通过使用 -ftrivial-auto-var-init=zero 标志进行编译以初始化堆栈内容来实现缓解。(CVSS 评分:7.5)

  • 服务器泄露任意客户端文件 (CVE-2024-12086):漏洞允许恶意服务器在文件传输过程中使用操纵的校验和值逐字节枚举和重建任意客户端文件。3.4.0 以下的所有版本均受影响。(CVSS 评分:6.1)

  • 通过 --inc-recursive 选项进行路径遍历 (CVE-2024-12087):使用 --inc-recursive 选项时,由于符号链接验证不足而导致的问题。恶意服务器可以在客户端上将文件写入目标目录之外。3.4.0 以下的所有版本都存在此漏洞。(CVSS 评分:6.5)

  • 绕过 --safe-links 选项 (CVE-2024-12088):当 Rsync 无法正确验证包含其他链接的符号链接目标时,就会出现此缺陷。这会导致路径遍历和指定目录之外的任意文件写入。所有低于 3.4.0 的版本都会受到影响。(CVSS 评分:6.5)

  • 符号链接竞争条件 (CVE-2024-12747):处理符号链接时竞争条件导致的漏洞。利用此漏洞可能允许攻击者访问敏感文件并提升权限。3.4.0 以下的所有版本均受影响。(CVSS 评分:5.6)

CERT 协调中心 (CERT/CC) 发布了有关 Rsync 漏洞的公告警告,指出 Red Hat、Arch、Gentoo、Ubuntu NixOS、AlmaLinux OS Foundation 和 Triton 数据中心受到影响。

然而,更多可能受影响的项目和供应商尚未做出回应。

CERT/CC警告称:“前两个漏洞(堆缓冲区溢出和信息泄露)结合在一起,可让客户端在运行 Rsync 服务器的设备上执行任意代码。  ”

“客户端只需要对服务器进行匿名读取访问,例如公共镜像。此外,攻击者可以控制恶意服务器并读取/写入任何连接客户端的任意文件。可以提取敏感数据(例如 SSH 密钥),并且可以通过覆盖文件(例如 ~/.bashrc 或 ~/.popt)来执行恶意代码。”

RedHat在其关于 CVE-2024-12084 的公告中指出,没有实际的缓解措施,并且该漏洞可在 Rsync 的默认配置中利用。

RedHat 解释道:“请记住,rsync 的默认 rsyncd 配置允许匿名文件同步,这存在此漏洞的风险。”

“否则,攻击者将需要需要身份验证的服务器的有效凭证。”

建议所有用户 尽快升级至3.4.0版本。

广泛影响

BleepingComputer 进行的 Shodan 搜索显示,有超过 660,000 个 IP 地址具有暴露的 Rsync 服务器。

大多数IP地址位于中国,暴露了52.1万个IP地址,其次是美国、香港、韩国和德国,但数量要少得多。

暴露的 Rsync 服务器的 Shodan 地图

在这些暴露的 Rsync 服务器中,有 306,517 个在默认 TCP 端口 873 上运行,有 21,239 个在端口 8873 上监听,该端口通常用于通过 SSH 隧道进行 Rsync。

Binary Edge 也显示了大量暴露的 Rsync 服务器,但其数量较少,仅为 424,087 个。

虽然有许多暴露的服务器,但尚不清楚它们是否容易受到新披露的漏洞的攻击,因为攻击者需要有效的凭据,或者服务器必须配置为匿名连接,而我们没有对此进行测试。

强烈建议所有 Rsync 用户升级到版本 3.4.0 或将守护进程配置为需要凭据。

对于现在无法升级的用户,您还可以在边界阻止 TCP 端口 873,以便服务器无法远程访问。

来源:https://www.bleepingcomputer.com/news/security/over-660-000-rsync-servers-exposed-to-code-execution-attacks/

   END  

阅读推荐

【安全圈】流量劫持、多人被抓:涉及电信运营商、IDC 代理等

【安全圈】美日韩称朝鲜黑客去年窃取了超过 6.59 亿美元加密货币

【安全圈】Windows 远程桌面网关漏洞导致系统遭受 DoS 攻击

【安全圈】黑客入侵西班牙电信网络,泄露 2.3 GB 在线数据

安全圈

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握!

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧!


文章来源: https://mp.weixin.qq.com/s?__biz=MzIzMzE4NDU1OQ==&mid=2652067407&idx=3&sn=8ab61dc14be99150b80875b0242ba5ee&chksm=f36e7a0fc419f31991628c4d2745df5c3bc235f99efb1f272830e57fe97a8ce3d84f7a21bcb2&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh