Rsync-kwetsbaarheden laten aanvaller willekeurige code op server uitvoeren

[Captain Kirk]

De populaire back-up- en synchronisatiesoftware rsync bevat zes verschillende kwetsbaarheden die een aanvaller in het ergste geval willekeurige code op een rsync-server laten uitvoeren. Gebruikers en organisaties die van rsync gebruikmaken worden door het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit opgeroepen om zo snel mogelijk naar versie 3.4.0 te updaten.

De gevaarlijkste rsync-kwetsbaarheid is CVE-2024-12084, een heap-buffer-overflow. Gecombineerd met CVE-2024-12085, een informatielek, kan een client willekeurige code uitvoeren op systemen waarop een rsync-server draait. De enige vereiste is dat de client anonieme lees-toegang tot de server heeft, zoals bij publieke mirrors het geval is. "Vergeet niet dat de standaard rsyncd configuratie van rsync anonieme bestandssynchronisatie toestaat, wat ook risico door deze kwetsbaarheid loopt. Anders heeft een aanvaller geldig inloggegevens voor servers nodig die authenticatie vereisen", aldus Red Hat. Dat heeft de impact van CVE-2024-12084 op een schaal van 1 tot en met 10 beoordeeld met een 9.8.

Het CERT/CC waarschuwt dat aanvallers ook via een malafide server willekeurige bestanden van elke verbonden client kunnen lezen/schrijven. "Gevoelige data, zoals SSH keys, kunnen worden achterhaald, en malafide code kan worden uitgevoerd door bestanden zoals ~/.bashrc of ~/.popt te overschrijven." Veel back-upsoftware, zoals Rclone, DeltaCopy en ChronoSync, maakt gebruik van rsync als backend voor het synchroniseren van bestanden. Rsync wordt ook door allerlei publieke mirrors gebruikt voor het synchroniseren en distribueren van bestanden over meerdere servers.

 

bron: https://www.security.nl