
Plus de 660 000 serveurs Rsync exposés sont potentiellement vulnérables à six nouvelles vulnérabilités, y compris une faille de débordement de mémoire tampon de tas de gravité critique qui permet l’exécution de code à distance sur les serveurs.
Rsync est un outil de synchronisation de fichiers et de transfert de données open source apprécié pour sa capacité à effectuer des transferts incrémentiels, réduisant les temps de transfert de données et l’utilisation de la bande passante.
Il prend en charge les transferts de systèmes de fichiers locaux, les transferts à distance via des protocoles sécurisés tels que SSH et la synchronisation directe des fichiers via son propre démon.
L’outil est largement utilisé par les systèmes de sauvegarde tels que Rclone, DeltaCopy, ChronoSync, les référentiels de distribution de fichiers publics et les opérations de gestion du cloud et du serveur.
Les failles Rsync ont été découvertes par Google Cloud et des chercheurs indépendants en sécurité et peuvent être combinées pour créer de puissantes chaînes d’exploitation qui conduisent à une compromission du système à distance.
« Dans la CVE la plus sévère, un attaquant n’a besoin que d’un accès en lecture anonyme à un serveur rsync, tel qu’un miroir public, pour exécuter du code arbitraire sur la machine sur laquelle le serveur s’exécute », lit-on dans le bulletin publié sur Openwall.
Les six défauts sont résumés ci-dessous:
- Débordement de tampon de tas (CVE-2024-12084): Vulnérabilité résultant d’une mauvaise gestion des longueurs de somme de contrôle dans le démon Rsync, entraînant des écritures hors limites dans le tampon. Il affecte les versions 3.2.7 à < 3.4.0 et peut permettre l’exécution de code arbitraire. L’atténuation implique la compilation avec des indicateurs spécifiques pour désactiver la prise en charge des résumés SHA256 et SHA512. (Score CVSS: 9,8)
- Fuite d’informations via une pile non initialisée (CVE-2024-12085): Faille permettant la fuite de données de pile non initialisées lors de la comparaison des sommes de contrôle des fichiers. Les attaquants peuvent manipuler les longueurs de somme de contrôle pour exploiter cette vulnérabilité. Cela affecte toutes les versions inférieures à 3.4.0, avec une atténuation réalisable en compilant avec l’indicateur-ftrivial-auto-var-init=zero pour initialiser le contenu de la pile. (Score CVSS: 7,5)
- Fuites de serveur Fichiers clients arbitraires (CVE-2024-12086): Vulnérabilité permettant à un serveur malveillant d’énumérer et de reconstruire des fichiers clients arbitraires octet par octet à l’aide de valeurs de somme de contrôle manipulées pendant le transfert de fichiers. Toutes les versions inférieures à 3.4.0 sont concernées. (Score CVSS: 6,1)
- Traversée de chemin via l’option recur inc-recursive (CVE-2024-12087): Problème lié à une vérification inadéquate des liens symboliques lors de l’utilisation de l’option –inc-recursive. Les serveurs malveillants peuvent écrire des fichiers en dehors des répertoires prévus sur le client. Toutes les versions inférieures à 3.4.0 sont vulnérables. (Score CVSS: 6,5)
- Contournement de l’option –safe-links (CVE-2024-12088): Faille qui se produit lorsque Rsync ne parvient pas à vérifier correctement les destinations de liens symboliques contenant d’autres liens. Il en résulte une traversée de chemin et des écritures de fichiers arbitraires en dehors des répertoires désignés. Toutes les versions inférieures à 3.4.0 sont impactées. (Score CVSS: 6,5)
- Condition de concurrence entre les liens symboliques (CVE-2024-12747): Vulnérabilité résultant d’une condition de concurrence dans la gestion des liens symboliques. L’exploitation peut permettre aux attaquants d’accéder à des fichiers sensibles et d’augmenter les privilèges. Toutes les versions inférieures à 3.4.0 sont concernées. (Score CVSS: 5,6)
Le Centre de coordination CERT(CERT / CC) a publié un bulletin d’avertissement sur les failles Rsync, marquant Red Hat, Arch, Gentoo, Ubuntu NixOS, AlmaLinux OS Foundation et le centre de données Triton comme impactés.
Cependant, de nombreux autres projets potentiellement concernés et fournisseurs n’ont pas encore répondu.
« Lorsqu’elles sont combinées, les deux premières vulnérabilités (débordement de tampon de tas et fuite d’informations) permettent à un client d’exécuter du code arbitraire sur un périphérique sur lequel un serveur Rsync est en cours d’exécution », a averti CERT/CC.
« Le client ne nécessite qu’un accès en lecture anonyme au serveur, tel que des miroirs publics. De plus, les attaquants peuvent prendre le contrôle d’un serveur malveillant et lire/écrire des fichiers arbitraires de n’importe quel client connecté. Des données sensibles, telles que des clés SSH, peuvent être extraites et du code malveillant peut être exécuté en écrasant des fichiers tels que ~/.bashrc ou ~/.popt. »
Dans son propre bulletin sur CVE-2024-12084, RedHat a noté qu’il n’y avait aucune atténuation pratique et que la faille était exploitable dans la configuration par défaut de Rsync.
« Gardez à l’esprit que la configuration rsyncd par défaut de rsync permet la synchronisation anonyme des fichiers, ce qui est à risque de cette vulnérabilité », explique RedHat.
« Sinon, un attaquant aura besoin d’informations d’identification valides pour les serveurs nécessitant une authentification. »
Il est conseillé à tous les utilisateurs de passer à la version 3.4.0 dès que possible.
Impact généralisé
Une recherche Shodan menée par Breachtrace montre qu’il existe plus de 660 000 adresses IP avec des serveurs Rsync exposés.
La plupart des adresses IP sont situées en Chine, avec 521 000 exposées, suivies par les États-Unis, Hong Kong, la Corée et l’Allemagne en nombre beaucoup plus réduit.

Parmi ces serveurs Rsync exposés, 306 517 s’exécutent sur le port TCP par défaut 873 et 21 239 écoutent sur le port 8873, couramment utilisé pour Rsync sur le tunneling SSH.
Binary Edge montre également un grand nombre de serveurs Rsync exposés, mais leur nombre est inférieur, à 424 087.
Bien qu’il existe de nombreux serveurs exposés, il n’est pas clair s’ils sont vulnérables aux vulnérabilités nouvellement divulguées, car les attaquants auraient besoin d’informations d’identification valides ou le serveur doit être configuré pour des connexions anonymes, ce que nous n’avons pas testé.
Il est fortement conseillé à tous les utilisateurs de Rsync de passer à la version 3.4.0 ou de configurer le démon pour exiger des informations d’identification.
Pour ceux qui ne peuvent pas mettre à niveau maintenant, vous pouvez également bloquer le port TCP 873 au périmètre afin que les serveurs ne soient pas accessibles à distance.