- Se descubrió que Rysinc era vulnerable a al menos seis fallas
- Uno de los errores es el RCE de gravedad crítica, advierten los expertos
- Se recomienda a los usuarios y proveedores que actualicen a la versión 3.4.0 inmediatamente.
Se descubrió que Rsync, una popular herramienta de sincronización y transferencia de archivos de código abierto, tenía múltiples vulnerabilidades que permitían a los actores de amenazas realizar todo tipo de actividades maliciosas, incluida la ejecución remota de código (RCE). Como resultado, cientos de miles de puntos finales están seriamente en riesgo.
La advertencia proviene de varios investigadores de ciberseguridad, incluidos los de Google Cloud, que recientemente descubrieron e informaron las fallas.
“Dos grupos independientes de investigadores han identificado un total de 6 vulnerabilidades en rsync. En el CVE más grave, un atacante requiere acceso anónimo de sólo lectura al servidor rsync, como un espejo público, para ejecutar código arbitrario en la computadora en la que el servidor está funcionando”, se lee en un aviso de seguridad publicado en -Openwall. “Upstream ha preparado correcciones para estos CVE. Estas correcciones se incluirán en rsync 3.4.0, que se lanzará pronto”.
Aplicando la solución
La vulnerabilidad más grave se rastrea como CVE-2024-12084 y se describe como un error de desbordamiento del búfer de montón resultante del manejo incorrecto de las longitudes de las sumas de comprobación en el demonio Rsync. Recibió una puntuación de gravedad de 9,8 y se decía que afectaba a las versiones 3.2.7 a <3.4.0.
Otras fallas son CVE-2024-12085 (fuga de información a través de una pila no inicializada), CVE-2024-12086 (el servidor filtra archivos de cliente arbitrarios), CVE-2024-12087 (recorrido de ruta), CVE-2024-12088 (evitación de –safe – enlaces de opciones) y CVE-2024-12747 (iconos de estado carrera de enlaces).
El Centro de Coordinación CERT (CERT/CC) calificó a Red Hat, Arch, Gentoo, Ubuntu NixOS, AlmaLinux OS Foundation y Triton Data Center como todos afectados, pero agregó que hay “muchos más” proyectos y proveedores que pueden verse afectados.
“Combinadas, las dos primeras vulnerabilidades (desbordamiento del buffer y fuga de datos) permiten a un cliente ejecutar código arbitrario en un dispositivo en el que se ejecuta el servidor Rsync”, advirtió CERT/CC.
pitidocomputadora También se realizó un análisis rápido de Shodan que arrojó 660.000 casos potencialmente afectados. La mayoría (521.000) se encuentran en China, y el resto se divide entre Estados Unidos, Hong Kong, Corea y Alemania.
Todos los usuarios de Rsync deben actualizar a la versión 3.4.0 lo antes posible, o al menos bloquear el puerto TCP 873.
