Специалисты по кибербезопасности из Google Cloud совместно с независимыми исследователями выявили серию критических уязвимостей в популярном инструменте синхронизации файлов Rsync. Наиболее опасной среди них является уязвимость переполнения буфера хипа, позволяющая злоумышленникам удаленно выполнять произвольный код на компрометированных серверах.
Масштаб угрозы и потенциальные последствия
Rsync широко используется в различных системах резервного копирования, включая Rclone, DeltaCopy и ChronoSync, а также в репозиториях публичных дистрибутивов и системах управления облачной инфраструктурой. Анализ платформы Shodan показывает, что более 660 000 серверов Rsync доступны через интернет, причем большая часть из них (306 517) работает на стандартном TCP-порту 873.
Механизм эксплуатации уязвимостей
Особую опасность представляет возможность цепочки атак, использующих несколько уязвимостей одновременно. По данным CERT/CC, злоумышленнику достаточно получить анонимный доступ на чтение к серверу Rsync для осуществления атаки. При успешной эксплуатации уязвимостей атакующие могут:
- Выполнять произвольный код на целевом сервере
- Получать несанкционированный доступ к конфиденциальным данным
- Модифицировать системные файлы, включая SSH-ключи и конфигурационные файлы
Затронутые системы и рекомендации по защите
Уязвимости затрагивают множество популярных Linux-дистрибутивов, включая Red Hat, Ubuntu, Arch Linux и Gentoo. Эксперты подчеркивают, что для CVE-2024-12084 не существует временных мер защиты, поэтому единственным эффективным решением является обновление Rsync до версии 3.4.0.
Администраторам систем настоятельно рекомендуется предпринять следующие меры безопасности: немедленно обновить программное обеспечение до последней версии, настроить обязательную аутентификацию для всех подключений и провести аудит текущих конфигураций на предмет потенциальных уязвимостей. В случае невозможности оперативного обновления следует рассмотреть временное отключение публичного доступа к серверам Rsync до устранения уязвимостей.
