QNAP a corrigé six vulnérabilités rsync qui pourraient permettre aux attaquants d’exécuter du code à distance sur des périphériques de stockage en réseau (NAS) non patchés.

Rsync est un outil de synchronisation de fichiers open source qui prend en charge la synchronisation directe des fichiers via son démon, les transferts SSH via SSH et les transferts incrémentiels qui permettent d’économiser du temps et de la bande passante.

Il est largement utilisé par de nombreuses solutions de sauvegarde telles que Rclone, DeltaCopy et ChronoSync, ainsi que dans les opérations de gestion de cloud et de serveur et la distribution de fichiers publics.

Les failles sont suivies comme CVE-2024-12084 (débordement de tampon de tas), CVE-2024-12085 (fuite d’informations via une pile non initialisée), CVE-2024-12086 (fuites de serveur fichiers clients arbitraires), CVE-2024-12087 (traversée de chemin via l’option recur inc-récursive), CVE-2024-12088 (contournement de l’option –safe-links) et CVE-2024-12747 (condition de course au lien symbolique).

QNAP dit qu’ils affectent la synchronisation de sauvegarde hybride HBS 3 25.1.x, la solution de sauvegarde de données et de reprise après sinistre de l’entreprise, qui prend en charge les services de stockage locaux, distants et cloud.

Dans un avis de sécurité publié jeudi, QNAP a déclaré avoir corrigé ces vulnérabilités dans HBS 3 Hybrid Backup SYNC 25.1.4.952 et conseillé aux clients de mettre à jour leur logiciel vers la dernière version.

Pour mettre à jour l’installation de Synchronisation de sauvegarde hybride sur votre périphérique NAS, vous devrez:

  1. Connectez-vous à QTS ou à Cuts hero en tant qu’administrateur.
  2. Ouvrez l’App Center et recherchez HBS 3 Hybrid Backup Sync.
  3. Attendez que la synchronisation de sauvegarde hybride HBS 3 apparaisse dans les résultats de la recherche
  4. Cliquez sur Mettre à jour, puis sur OK dans le message de confirmation de suivi.

​​​​Ces failles Rsync peuvent être combinées pour créer des chaînes d’exploitation qui conduisent à une compromission du système distant. Les attaquants n’ont besoin que d’un accès anonyme en lecture aux serveurs vulnérables.

« Lorsqu’elles sont combinées, les deux premières vulnérabilités (débordement de tampon de tas et fuite d’informations) permettent à un client d’exécuter du code arbitraire sur un périphérique sur lequel un serveur Rsync est en cours d’exécution », a averti CERT/CC il y a une semaine lorsque rsync 3.4.0 a été publié avec des correctifs de sécurité.

« Le client ne nécessite qu’un accès en lecture anonyme au serveur, tel que des miroirs publics. De plus, les attaquants peuvent prendre le contrôle d’un serveur malveillant et lire/écrire des fichiers arbitraires de n’importe quel client connecté. »

Une recherche Shodan montre plus de 700 000 adresses IP avec des serveurs rsync exposés. Cependant, on ne sait pas combien d’entre eux sont vulnérables aux attaques exploitant ces failles de sécurité, car une exploitation réussie nécessite des informations d’identification valides ou des serveurs configurés pour des connexions anonymes.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *