超220万台Rsync服务器面临漏洞威胁，40%位于中国

超过220万台Rsync服务器因六项新漏洞（包括远程代码执行漏洞）面临严重安全威胁，其中近40%的服务器IP地址位于中国。

超过220万台暴露的Rsync服务器可能面临六项新漏洞的威胁，其中包括一项允许在服务器上远程执行代码的高危堆缓冲区溢出漏洞。

Openwall发布的公告指出：“在最严重的CVE（通用漏洞披露）案例中，攻击者仅需对Rsync服务器（如公共镜像）拥有匿名读取访问权限，即可在服务器运行的机器上执行任意代码。”

• 堆缓冲区溢出漏洞（CVE-2024-12084）：由于Rsync守护进程对校验和长度的处理不当导致，会在缓冲区中进行越界写入。该漏洞影响3.2.7至3.4.0以下版本，可导致任意代码执行。缓解措施包括使用特定标志编译以禁用SHA256和SHA512摘要支持。（CVSS评分：9.8）

• 未初始化堆栈导致的信息泄露漏洞（CVE-2024-12085）：在比较文件校验和时，会导致未初始化堆栈数据泄露。攻击者可通过操纵校验和长度来利用该漏洞。该漏洞影响3.4.0以下所有版本，可通过使用-ftrivial-auto-var-init=zero标志编译来初始化堆栈内容以缓解。（CVSS评分：7.5）
• 服务器泄露任意客户端文件漏洞（CVE-2024-12086）：恶意服务器可利用操纵的校验和值在文件传输过程中逐字节枚举和重建任意客户端文件。该漏洞影响3.4.0以下所有版本。（CVSS评分：6.1）
• 通过--inc-recursive选项的路径遍历漏洞（CVE-2024-12087）：在使用--inc-recursive选项时，由于符号链接验证不足导致。恶意服务器可以在客户端的指定目录之外写入文件。该漏洞影响3.4.0以下所有版本。（CVSS评分：6.5）
• 绕过--safe-links选项漏洞（CVE-2024-12088）：当Rsync未能正确验证包含其他链接的符号链接目标时发生。这会导致路径遍历和在指定目录之外进行任意文件写入。该漏洞影响3.4.0以下所有版本。（CVSS评分：6.5）
• 符号链接竞态条件漏洞（CVE-2024-12747）：在处理符号链接时出现竞态条件导致的漏洞。利用该漏洞，攻击者可访问敏感文件并提升权限。该漏洞影响3.4.0以下所有版本。（CVSS评分：5.6）

CERT/CC警告称：“前两个漏洞（堆缓冲区溢出和信息泄露）结合利用时，允许客户端在运行Rsync服务器的设备上执行任意代码。客户端仅需对服务器拥有匿名读取访问权限，如公共镜像。此外，攻击者可以控制恶意服务器并读取/写入任何连接客户端的任意文件。敏感数据（如SSH密钥）可被提取，通过覆盖文件（如/.bashrc或/.popt）可执行恶意代码。”

RedHat解释说：“请记住，Rsync的默认rsyncd配置允许匿名文件同步，这存在该漏洞的风险。否则，攻击者需要拥有需要身份验证的服务器的有效凭据。”

转载请注明出处@安全威胁纵横，封面由ChatGPT生成；

本文来源：https://www.bleepingcomputer.com/news/security/over-660-000-rsync-servers-exposed-to-code-execution-attacks/

原文始发于微信公众号（安全威胁纵横）：超220万台Rsync服务器面临漏洞威胁，40%位于中国