QNAP е отстранила шест уязвимости в rsync, които могат да позволят на атакуващите да получат отдалечено изпълнение на код на непоправени устройства за съхранение в мрежа (NAS).
Rsync е инструмент за синхронизиране на файлове с отворен код, който поддържа директно синхронизиране на файлове чрез своя димон, SSH трансфери чрез SSH и инкрементални трансфери, които спестяват време и честотна лента.
Той се използва широко от много решения за архивиране като Rclone, DeltaCopy и ChronoSync, както и в операции за управление на облаци и сървъри и публично разпространение на файлове.
Недостатъците се проследяват като CVE-2024-12084 (препълване на буфера на купчината), CVE-2024-12085 (изтичане на информация чрез неинициализиран стек), CVE-2024-12086 (сървърът пропуска произволни клиентски файлове), CVE-2024-12087 (обхождане на пътища чрез опцията –inc-recursive), CVE-2024-12088 (заобикаляне на опцията –safe-links) и CVE-2024-12747 (състояние на състезание със символни връзки).
От QNAP твърдят, че те засягат HBS 3 Hybrid Backup Sync 25.1.x, решението на компанията за архивиране на данни и възстановяване след бедствие, което поддържа локални, отдалечени и облачни услуги за съхранение.
В консултация по сигурността, публикувана в четвъртък, QNAP заяви, че е отстранила тези уязвимости в HBS 3 Hybrid Backup Sync 25.1.4.952, и посъветва клиентите да актуализират софтуера си до най-новата версия.
За да актуализирате инсталацията на Hybrid Backup Sync на вашето NAS устройство, ще трябва да:
Тези недостатъци на Rsync могат да се комбинират, за да се създадат вериги за експлоатация, които водят до отдалечено компрометиране на системата. Нападателите се нуждаят само от анонимен достъп за четене до уязвимите сървъри.
„Когато се комбинират, първите две уязвимости (препълване на буфера на купчината и изтичане на информация) позволяват на клиент да изпълни произволен код на устройство, на което е стартиран сървър Rsync“, предупреди CERT/CC преди една седмица, когато rsync 3.4.0 беше пуснат с поправки на сигурността.
„Клиентът изисква само анонимен достъп за четене до сървъра, например до публични миръри. Освен това атакуващите могат да поемат контрола над злонамерен сървър и да четат/записват произволни файлове на всеки свързан клиент.“
Търсенето в Shodan показва над 700 000 IP адреса с изложени на риск сървъри rsync. Не е ясно обаче колко от тях са уязвими за атаки, използващи тези уязвимости в сигурността, тъй като успешното използване изисква валидни пълномощия или сървъри, конфигурирани за анонимни връзки.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.