Recientes investigaciones han revelado que más de 660.000 servidores Rsync en todo el mundo están potencialmente expuestos a seis vulnerabilidades críticas, incluida una falla de desbordamiento de búfer que permite la ejecución remota de código. Estas vulnerabilidades, detectadas por Google Cloud y otros investigadores, afectan a diversas versiones de Rsync y representan un riesgo significativo para la infraestructura de TI global.
Rsync: Una herramienta crítica bajo amenaza
Rsync es una herramienta de código abierto utilizada ampliamente para la sincronización de archivos y la transferencia de datos. Es particularmente popular en sistemas de respaldo, distribución pública de archivos y operaciones de gestión en la nube. Sin embargo, estas vulnerabilidades, si se explotan, podrían permitir a los atacantes comprometer servidores, acceder a archivos sensibles y ejecutar código malicioso.
Las vulnerabilidades detectadas
Entre las seis vulnerabilidades identificadas, destacan las siguientes:
- Desbordamiento de búfer en memoria dinámica (CVE-2024-12084): Permite la ejecución remota de código en versiones entre 3.2.7 y 3.4.0. Calificación CVSS: 9.8.
- Fuga de información en la pila (CVE-2024-12085): Posibilita la filtración de datos al comparar sumas de verificación de archivos. Afecta a todas las versiones anteriores a 3.4.0. CVSS: 7.5.
- Servidor filtra archivos del cliente (CVE-2024-12086): Permite a un servidor malicioso reconstruir archivos arbitrarios del cliente. CVSS: 6.1.
- Traversal de rutas con opción
--inc-recursive(CVE-2024-12087): Permite a servidores maliciosos escribir fuera de los directorios permitidos en el cliente. CVSS: 6.5. - Elusión de opción
--safe-links(CVE-2024-12088): Facilita la escritura de archivos arbitrarios fuera de los directorios designados. CVSS: 6.5. - Condición de carrera en enlaces simbólicos (CVE-2024-12747): Puede dar acceso a archivos sensibles y escalamiento de privilegios. CVSS: 5.6.
Estas vulnerabilidades permiten combinar fallos para crear cadenas de explotación que comprometan sistemas completos.
Impacto global
Un análisis en Shodan muestra más de 660.000 direcciones IP con servidores Rsync expuestos, con una mayoría significativa (521.000) ubicados en China. Otros países afectados incluyen Estados Unidos, Corea del Sur, Alemania y Hong Kong. Aproximadamente 306.517 servidores utilizan el puerto TCP predeterminado 873, mientras que otros están configurados en puertos alternativos como 8873.
Recomendaciones urgentes
Para mitigar estos riesgos, los usuarios deben:
- Actualizar a Rsync 3.4.0 de inmediato, la única versión que corrige las vulnerabilidades.
- Configurar el daemon de Rsync para requerir credenciales de autenticación y deshabilitar las conexiones anónimas.
- Bloquear el puerto TCP 873 en los firewalls de red si no se puede actualizar de forma inmediata.
Además, es esencial compilar Rsync con banderas específicas que deshabiliten funciones como los algoritmos SHA256 y SHA512, cuando sea aplicable, para mitigar vulnerabilidades relacionadas.
Conclusión
Las vulnerabilidades de Rsync son un recordatorio de la importancia de mantener actualizados los sistemas y de evaluar la exposición de servicios críticos en la red. Dado el alto número de servidores expuestos, los administradores de TI deben actuar rápidamente para proteger su infraestructura y minimizar el impacto potencial de estas fallas.
vía: Openwall
