Vulnerabilidades de seguridad en la herramienta de sincronización de archivos Rsync podrían afectar a hasta 660,000 servidores.
Investigadores en seguridad descubrieron seis vulnerabilidades en esta herramienta popular.
Rsync, una herramienta de código abierto ampliamente utilizada para la transferencia y sincronización de archivos, ha sido identificada con múltiples vulnerabilidades que podrían ser explotadas por actores maliciosos, incluyendo la ejecución remota de código (RCE). Esta situación pone en grave riesgo a cientos de miles de dispositivos. La advertencia proviene de distintos expertos en ciberseguridad, incluidos investigadores de Google Cloud, quienes reportaron estas fallas recientemente.
Dos grupos independientes de investigadores han detectado un total de seis vulnerabilidades. La más crítica, clasificada como CVE-2024-12084, permite a un atacante ejecutar código arbitrario en un servidor que esté ejecutando Rsync, solo con acceso de lectura anónimo, como el que se tendría en un espejo público. La gravedad de esta vulnerabilidad se evalúa en 9.8, y afecta a las versiones desde 3.2.7 hasta antes de 3.4.0.
Además de esta, las otras vulnerabilidades son: CVE-2024-12085 (fuga de información a través de una pila no inicializada), CVE-2024-12086 (el servidor filtra archivos arbitrarios del cliente), CVE-2024-12087 (traversal de ruta), CVE-2024-12088 (bypass de la opción –safe-links), y CVE-2024-12747 (condición de carrera de enlace simbólico).
El CERT Coordination Center (CERT/CC) ha señalado que varias distribuciones, incluyendo Red Hat, Arch, Gentoo, Ubuntu, NixOS, y AlmaLinux OS Foundation, están afectadas, aunque advirtió que muchos otros proyectos y proveedores podrían estar en riesgo.
La combinación de las dos vulnerabilidades más críticas permite que un cliente ejecute código arbitrario en un dispositivo que tenga un servidor Rsync activo. Un análisis rápido realizado a través de Shodan reveló aproximadamente 660,000 instancias que podrían verse afectadas, la mayoría de las cuales (521,000) se encuentran en China, con el resto repartido entre Estados Unidos, Hong Kong, Corea y Alemania.
Se recomienda a todos los usuarios de Rsync actualizar a la versión 3.4.0 lo antes posible o, al menos, bloquear el puerto TCP 873 para mitigar el riesgo.
