Ein Forscherteam von Google Cloud hat in Zusammenarbeit mit unabhängigen Sicherheitsexperten mehrere kritische Sicherheitslücken im weitverbreiteten Datensynchronisationstool Rsync identifiziert. Die gravierendste Schwachstelle manifestiert sich in Form eines Heap-Buffer-Overflows, der Angreifern die Möglichkeit zur Remote Code Execution (RCE) auf kompromittierten Systemen eröffnet.
Weitreichende Auswirkungen auf globale IT-Infrastruktur
Die Dimension der Bedrohung ist beträchtlich: Analysen der Sicherheitsplattform Shodan zufolge sind aktuell mehr als 660.000 Rsync-Server über das Internet erreichbar. Besonders besorgniserregend ist, dass etwa 306.517 dieser Server den standardmäßigen TCP-Port 873 nutzen, was sie zu leicht identifizierbaren Zielen macht. Rsync findet breite Verwendung in essentiellen Backup-Lösungen wie Rclone, DeltaCopy und ChronoSync sowie in der Verwaltung von Cloud-Infrastrukturen.
Technische Details und Angriffsvektoren
Die entdeckten Schwachstellen ermöglichen verschiedene Angriffsszenarien, wobei die Kombination mehrerer Sicherheitslücken besonders gefährlich ist. Nach Einschätzung des CERT/CC genügt bereits ein anonymer Lesezugriff auf einen Rsync-Server, um einen erfolgreichen Angriff zu initiieren. Zu den möglichen Konsequenzen gehören:
- Ausführung beliebigen Codes auf dem Zielsystem
- Unbefugter Zugriff auf sensitive Daten
- Manipulation kritischer Systemdateien einschließlich SSH-Keys
Betroffene Systeme und Schutzmaßnahmen
Die Sicherheitslücken betreffen zahlreiche Linux-Distributionen, darunter Red Hat, Ubuntu, Arch Linux und Gentoo. Da für die kritische Schwachstelle CVE-2024-12084 keine Workarounds existieren, ist ein Update auf Rsync Version 3.4.0 die einzige effektive Gegenmaßnahme.
Systemadministratoren wird dringend empfohlen, unverzüglich folgende Sicherheitsmaßnahmen zu implementieren: Installation der aktuellsten Rsync-Version, Aktivierung verpflichtender Authentifizierung für alle Verbindungen und Durchführung eines umfassenden Sicherheitsaudits bestehender Konfigurationen. Falls eine sofortige Aktualisierung nicht möglich ist, sollte der öffentliche Zugriff auf Rsync-Server temporär deaktiviert werden, bis die Sicherheitslücken geschlossen sind. Diese proaktiven Maßnahmen sind essentiell, um die Integrität und Sicherheit der betroffenen Systeme zu gewährleisten.
