Pesquisadores da Google Cloud e outros independentes descobriram uma série de vulnerabilidades no Rsync, uma ferramenta para sincronização de arquivos amplamente utilizada ao redor do mundo, incluindo em sistemas de backup como Rclone e DeltaCopy. Dentre as falhas, destaca-se a CVE-2024-12084, uma vulnerabilidade de Heap Buffer Overflow com severidade 9.8. O erro permite a execução de códigos arbitrários em servidores vulneráveis.
A OpenWall relatou que o ator de ameaça precisa ter somente acesso anônimo de leitura a um servidor Rsync para conseguir explorar esta falha e executar códigos arbitrários.
De acordo com o jornal BleepingComputer, estima-se que cerca de 660 mil servidores estejam expostos ao redor do mundo. No Brasil, há mais de 3 mil servidores Rsync expostos, mas ainda não é possível afirmar que todos estejam vulneráveis aos bugs. Isso se deve ao fato de que, para que as falhas sejam exploradas, os atacantes precisam de credenciais válidas — ou os servidores devem estar configurados para permitir conexões anônimas.
Além da CVE-2024-12084, outras cinco vulnerabilidades também foram encontradas no Rsync:
– CVE-2024-12085 (Information Leak via Uninitialized Stack), com CVSS 7.5;
– CVE-2024-12086 (Server Leaks Arbitrary Client Files), com CVSS 6.1;
– CVE-2024-12087 (Path Traversal via –inc-recursive Option), com CVSS 6.5;
– CVE-2024-12088 (Bypass of –safe-links Option), com CVSS 6.5;
– CVE-2024-12747 (Symbolic Link Race Condition), com CVSS 5.6.
Especialistas do CERT/CC apontaram que a primeira falha da lista, CVE-2024-12085, pode ser utilizada em conjunto com a crítica CVE-2024-12084. As duas vulnerabilidades, assim, passam a permitir que um cliente execute códigos arbitrários em um dispositivo que tenha o servidor Rsync em execução.
Atacantes também conseguem obter controle de servidores maliciosos e ler ou escrever arquivos arbitrários. É importante ressaltar que dados sensíveis, como chaves SSH, podem ser extraídos pelos invasores.
O fabricante já corrigiu todas essas vulnerabilidades. Dessa forma, é de suma importância que administradores atualizem a ferramenta assim que possível. Mais informações estão disponíveis neste link: https://kb.cert.org/vuls/id/952657
A SEK recomenda que consumidores da ferramenta restrinjam o acesso ao servidor Rsync vulnerável para minimizar a exposição. Além disso, é importante desabilitar a sincronização anônima, caso não seja necessária, para reduzir a superfície de ataque. É importante manter o monitoramento de atividades suspeitas e atualizar planos de resposta a incidentes para incluir possíveis cenários relacionados a essas vulnerabilidades.
A SEK se mantém à disposição para fornecer suporte adicional e esclarecer quaisquer dúvidas relacionadas a esta vulnerabilidade.