【已支持暴露面风险排查】Rsync缓冲区溢出与信息泄露漏洞(CVE-2024-12084/CVE-2024-12085)

阅读: 130

一、漏洞概述

近日,绿盟科技监测到Rsync发布安全公告,修复了Rsync中的缓冲区溢出与信息泄露漏洞(CVE-2024-12084/CVE-2024-12085),两个漏洞组合使用可实现远程代码执行,请相关用户尽快采取措施进行防护。

CVE-2024-12084:Rsync守护进程中存在堆缓冲区溢出漏洞,由于对用户控制的校验和长度 (s2length) 处理不当,当Rsyncd配置为允许匿名访问时,攻击者可通过构造恶意的s2length值将数据写入内存中超出分配范围的区域,从而实现远程代码执行。CVSS评分9.8。

CVE-2024-12085:Rsync守护进程存在内存缓冲区内操作限制不当的问题,由于未正确初始化内存,当Rsync比较文件校验和时攻击者可通过特定操作读取未初始化的内存数据,造成信息泄露。CVSS评分7.5。

Rsync是一个功能强大的文件同步工具,主要用于在本地或网络中的不同位置高效地复制和同步文件和目录,广泛应用于备份、镜像站点管理以及远程文件同步。Rsync服务默认开放在873端口/TCP,Rsync Daemon(Rsyncd)是Rsync服务端的守护进程。

参考链接:

https://download.samba.org/pub/rsync/NEWS#3.4.0

 

二、影响范围

受影响版本

CVE-2024-12084:

  • Rsync = 3.7
  • Rsync = 3.3.0

CVE-2024-12085:

  • Rsync <= 3.0

已知影响Linux发行版:Ubuntu、Debian、AlmaLinux OS、Arch Linux、Gentoo Linux、NixOS、SUSE Linux、Triton Data Center

注:Rsync默认安装时,Rsyncd守护进程需手动配置后才会启用,建议重点关注可能开放匿名访问的文件共享和公共镜像主机。

 

不受影响版本

  • Rsync >= 3.4.0

 

三、漏洞检测

    • 版本检测

相关用户可以通过下列命令查看当前使用的Rsync版本来判断系统是否在影响范围:

rsync –version

 

  • 产品检测

绿盟科技远程安全评估系统(RSAS)已具备对Rsync匿名访问与相关漏洞登录扫描的检测能力,请有部署此设备的用户升级至最新版本。

  升级包版本号 升级包下载链接
RSAS V6系统插件升级包 V6.0R02F01.3902 https://update.nsfocus.com/update/listRsasDetail/v/vulsys

关于RSAS的升级配置指导,请参考如下链接:

https://mp.weixin.qq.com/s/SgOaCZeKrNn-4uR8Yj_C3Q

 

四、暴露面风险排查方案

云端检测

目前绿盟科技鹰眼运营中心的两高一弱排查方案已支持针对Rsync服务暴露的风险排查:

绿盟科技外部攻击面管理服务(EASM)可进行Rsync相关漏洞风险的互联网资产排查,目前已帮助服务客户群体完成了暴露面摸排与风险验证,在威胁发生前及时进行漏洞预警与闭环处置。

有需要的用户请访问下列链接或扫描二维码登记进行免费试用:

https://t1.nsfocus.com/portal#/applyUse?product=cards

另,若对EASM服务感兴趣的客户可通过联系绿盟当地区域同事或发送邮件至rs@nsfocus.com安排详细的咨询交流。

  • 本地排查

绿盟科技CTEM解决方案可以被动+主动进行Rsync相关资产的发现和排查:

用户使用外部攻击面发现功能将Rsync漏洞线索同步至云端,可通过资产测绘的方式获取目标单位的受影响资产。

用户添加扫描任务,可通过选择资产组或手动添加内外网主机IP;

可设置Rsync默认873端口进行扫描;

可对资产发现结果进行筛选和处置。

同时,绿盟科技自动化渗透测试工具(EZ)目前已支持Rsync服务的匿名访问验证,可使用下列命令对单个或批量主机进行检测:

./ez servicescan –hosts 192.168.13.41 –ports 873 –pocs rsync
./ez servicescan –hosts-file ip.txt –ports 873 –pocs rsync

若使用的受影响版本Rsync开放匿名访问,则说明存在安全风险。

工具下载链接:https://github.com/m-sec-org/EZ/releases

新用户请注册M-SEC社区(https://msec.nsfocus.com)申请证书进行使用:

五、漏洞防护

    • 官方升级

目前官方已发布新版本修复了上述漏洞,请受影响的用户尽快升级版本进行防护,下载链接:https://rsync.samba.org/download.html

 

  • 其他防护措施

若相关用户暂时无法进行升级操作,可通过下列措施进行临时缓解:

1、CVE-2024-12084:可修改Rsyncd配置文件,添加auth users和secrets file,创建包含用户和密码的文件,禁止Rsync的匿名读取权限。

auth users = <username>
secrets file = /etc/rsyncd.secrets

CVE-2024-12085:可使用“-ftrivial-auto-var-init=zero”选项集编译Rsync,实现零初始化“sum2”变量的内存。

2、用户可通过主机和网络防火墙设备上的防火墙规则过滤不受信任的Rsync连接,在不影响业务的前提下可屏蔽Rsync服务端口或进行访问限制。

 

声明

本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。

绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。

Spread the word. Share this post!

Meet The Author