Rysinc wurde als anfällig für mindestens sechs Schwachstellen identifiziert. Einer der Fehler ist eine kritische Schwachstelle für RCE, warnen Experten. Benutzer und Anbieter werden dringend empfohlen, sofort auf die Version 3.4.0 zu aktualisieren.

Rsync, ein beliebtes Open-Source-Dateiübertragungs- und Synchronisierungstool, wurde mit mehreren Schwachstellen entdeckt, die es Bedrohungsakteuren ermöglichten, alle Arten von bösartigen Aktivitäten durchzuführen, einschließlich der Ausführung von Remote-Code (RCE). Als Folge sind Hunderttausende Endpunkte ernsthaft gefährdet. Die Warnung stammt von mehreren Cybersicherheitsforschern, darunter auch von Google Cloud, die die Schwachstellen kürzlich entdeckt und gemeldet haben.

„Zwei unabhängige Forschergruppen haben insgesamt 6 Schwachstellen in Rsync identifiziert. Bei der schwersten CVE benötigt ein Angreifer lediglich anonymen Lesezugriff auf einen Rsync-Server, wie z.B. einen öffentlichen Spiegel, um beliebigen Code auf der Maschine auszuführen, auf der der Server läuft“, heißt es in einem Sicherheitshinweis von Openwall. „Die Upstream-Entwickler haben Patches für diese CVEs vorbereitet. Diese Fixes werden in Rsync 3.4.0 enthalten sein, das in Kürze veröffentlicht wird.“

Die Anwendung der Behebung
Die schwerwiegendste Schwachstelle wird als CVE-2024-12084 verfolgt und als Heap-Pufferüberlauf-Bug beschrieben, der aus der unzureichenden Handhabung von Prüfsummenlängen im Rsync-Daemon resultiert. Er erhielt eine Schwerepunktzahl von 9,8 und betrifft die Versionen 3.2.7 bis < 3.4.0. Andere Schwachstellen sind CVE-2024-12085 (Informationsleck über nicht initialisierten Stapel), CVE-2024-12086 (Server leckt beliebige Client-Dateien), CVE-2024-12087 (Pfadtraversierung), CVE-2024-12088 (Umgehung der Option –safe-links) und CVE-2024-12747 (Race Condition bei symbolischen Links). Das CERT Coordination Center (CERT/CC) bezeichnete Red Hat, Arch, Gentoo, Ubuntu NixOS, AlmaLinux OS Foundation und das Triton Data Center als betroffen, fügte jedoch hinzu, dass „viele weitere“ potenziell betroffene Projekte und Anbieter gibt.

„Wenn kombiniert, erlauben die ersten beiden Schwachstellen (Heap-Pufferüberlauf und Informationsleck) einem Client, beliebigen Code auf einem Gerät auszuführen, auf dem ein Rsync-Server läuft“, warnte das CERT/CC. BleepingComputer führte auch einen schnellen Shodan-Scan durch, der 660.000 potenziell betroffene Instanzen zurückgab. Die Mehrheit (521.000) befindet sich in China, mit den restlichen Aufteilungen zwischen den Vereinigten Staaten, Hongkong, Korea und Deutschland. Alle Rsync-Benutzer sollten so bald wie möglich auf Version 3.4.0 aktualisieren oder zumindest den TCP-Port 873 blockieren.