Rsync expone miles de servidores

Seis vulnerabilidades, una de ellas crítica, afectan a la popular herramienta de sincronización de archivos

Rsync es una herramienta de código abierto ampliamente utilizada para la sincronización de archivos y la transferencia de datos. En ella se basan múltiples programas de respaldo de archivos, como Rclone, Delta Copy o ChronoSync.

Dos grupos independientes de investigadores han encontrado hasta seis vulnerabilidades diferentes en la aplicación, una de ellas con muy pocos requerimientos para su explotación y que permitiría a un atacante ejecutar código de forma remota en el sistema vulnerable.

Los fallos detectados afectan a las versiones anteriores a la 3.4.0. Según datos de Shodan extraídos por Bleeping Computer, hasta 660.000 instancias de Rsync se han encontrado en servidores expuestos en Internet, unos 4.000 en España.

Fuente: BleepingComputer

Las vulnerabilidades encontradas son las siguientes:

• CVE-2024 -12084. Con una criticidad de 9.8 en la escala CVSS esta vulnerabilidad permite ejecución remota de código mediante heap overflow por el manejo incorrecto de tamaños de datos controlados por el usuario.
• CVE-2024-12085. Este error permite extraer información del sistema afectado estableciendo una comparación entre un checksum y memoria sin inicializar. Su puntuación CVSS es de 7.5.
• CVE-2024–12086. Permite enumerar el contenido de un fichero arbitrario de la máquina cliente. Para ello basta con manipular el checksum que se usa para determinar los datos a enviar por parte del cliente hacia el servidor y utilizar la respuesta para reconstruir el contenido de cualquier fichero byte a byte. Tiene una criticidad de 6.1.
• CVE-2024–12087. Este error de path traversal permitiría la escritura de archivos maliciosos en directorios válidos en base a la estructura de ficheros del cliente. La criticidad que se le calcula es de 6.5 puntos en la escala CVSS.
• CVE-2024–12088. Similar a la anterior, permite la escritura de ficheros fuera del directorio establecido explotando un error en la comprobación del path mediante el uso de enlaces simbólicos. Tiene la misma criticidad de 6.5 puntos.
• CVE-2024–12747. En este caso una condición de carrera en el manejo de enlaces simbólicos permite acceder a información sensible del sistema, lo que podría facilitar el escalado de privilegios en un escenario de post explotación. Tiene una puntuación de 5.6 en la escala CVSS.

Para evitar la exposición a las vulnerabilidades encontradas se recomienda actualizar Rsync a la versión 3.4.0 con la mayor brevedad posible. En caso de no ser posible se pueden establecer mitigaciones, como bloquear el puerto TCP 873 usado por defecto para evitar el acceso remoto a los servidores.

Fuentes y más información:

• https://www.openwall.com/lists/oss-security/2025/01/14/3
• https://kb.cert.org/vuls/id/952657
• https://www.bleepingcomputer.com/news/security/over-660-000-rsync-servers-exposed-to-code-execution-attacks/
• https://thehackernews.com/2025/01/google-cloud-researchers-uncover-flaws.html