6 Rsync ranjivosti, oko 600,000 uređaja ugroženo
Kada se radi o administraciji Linux operativnih sistema, samo nekoliko alata je steklo toliko poštovanja i široke upotrebe kao Rsync. Ovaj uslužni program za sinhronizaciju datoteka je dugo bio osnovni element za administratore koji žele da efikasno upravljaju datotekama u različitim sistemima. Međutim, nedavna otkrića sigurnosnih istraživača otkrila su nekoliko ozbiljnih ranjivosti unutar ovog alata, što potencijalno dovodi u opasnost mnogobrojne Linux sisteme.

6 Rsync ranjivosti, oko 600,000 uređaja ugroženo; Source: Bing Image Creator
RSYNC
Da bi se shvatila ozbiljnost ove situacije, neophodno je prvo razumjeti šta Rsync radi i kako se ove ranjivosti manifestuju. U svojoj osnovi, Rsync je dizajniran da sinhronizuje datoteke između dva sistema prenosom samo izmijenjenih blokova umjesto cijelih datoteka ili direktorijuma. Ova efikasnost ga čini nezamjenjivim alatom za administratore koji žele da upravljaju velikim količinama podataka uz minimalnu upotrebu propusnog opsega mreže.
Međutim, nedavno otkriće šest ranjivosti bacilo je sjenku na reputaciju Rsync alata. Među njima je i kritična ranjivost CVE-2024-12084 koja omogućava zlonamjernim akterima da izvrše proizvoljan kôd i kompromituju čitav sistem ako se ranjivost uspješno iskoristi. Težina ove situacije postaje još očiglednija kada se ima u vidu da je Rsync alat prisutan na preko 600 hiljada servera izloženih na internetu. Ako se ne ranjivosti ne isprave, mogu potencijalno dovesti do široko rasprostranjenih sistemskih kompromitovanja širom sveta.
Ranjivosti
Sigurnosni istraživači su otkrili ukupno šest ranjivosti vezanih za Rsync alat, a radi se o:
- CVE-2024-12084: Ovo je najkritičnija Rsync ranjivost koja se odnosi na dinamičko prekoračenje memorije i dobila je CVSS ocjenu 9.8 od 10 što ukazuje na njenu ekstremnu ozbiljnost. Osnovni uzrok leži u nepravilnom rukovanju Rsync sistemske usluge (eng. daemon) sa dužinama kontrolne sume koje kontroliše zlonamjerni akter. Iskorištavanje ove ranjivosti može omogućiti zlonamjernim akterima da pišu izvan predviđenih granica memorije, što potencijalno dovodi do izvršenja kôda.
- CVE-2024-12085: Ova ranjivost omogućava curenje informacija. Manipulišući dužinama kontrolne sume, zlonamjerni akteri mogu nametnuti poređenja između kontrolnih suma i neinicijalizovane memorije, potencijalno izlažući osjetljive podatke jedan po jedan bajt. Ova ranjivost može predstavljati ozbiljnu prijetnju bezbjednosti sistema ako se ne riješi blagovremeno. Ranjivost je dobila CVSS ocjenu 7.5 od 10.
- CVE-2024-12086: Ranjivost omogućava zlonamjernim Rsync serverima da potencijalno rekonstruišu sadržaj proizvoljnih datoteka na klijentskim mašinama iskorištavanjem procesa poređenja datoteka tokom prenosa. Ova ranjivost naglašava važnost bezbjednog rukovanja podacima i prakse prenosa u umreženim okruženjima. Ranjivost je dobila CVSS ocjenu 6.1 od 10.
- CVE-2024-12087: Ova ranjivost omogućava zaobilaženje opcije bezbjednih veza što dovodi do prelaska putanje, omogućavajući zlonamjernom akteru da navede Rsync da prati simboličke veze i potencijalno dobije neovlašten pristup datotekama ili direktorijumima. Ranjivost je dobila CVSS ocjenu 6.5 od 10.
- CVE-2024-12088: Ranjivost upisivanja u eksterni direktorijum omogućava zlonamjernom akteru da upiše proizvoljne podatke u datoteku izvan predviđene strukture direktorijuma, što može dovesti do potencijalne eskalacije privilegija. Ranjivost je dobila CVSS ocjenu 6.5 od 10.
- CVE-2024-12747: Na kraju, ranjivost stanja utrkivanja u rukovanju simboličkim vezama identifikovan je ranjivost koja može dovesti do eskalacije privilegija ako se uspješno iskoristi, što predstavlja značajnu prijetnju bezbjednosti i stabilnosti sistema. Ranjivost je dobila CVSS ocjenu 5.6 od 10.
Da bi se ublažili rizici povezani sa korištenjem Rclone, DeltaCopy ili ChronoSync (ili bilo kog drugog programa za pravljenje rezervnih kopija koji se oslanja na Rsync), administratori bi prvo trebalo da provjere verzije alata za pravljenje rezervnih kopija i Rsync koji se koriste. Ako je bilo koji od njih ispod verzije 3.4.0, ključno je da se odmah ažuriraju, jer ovo izdanje uključuje ispravke za ove ranjivosti.
Otkrivanje i procjena rizika
S obzirom na potencijalnu ozbiljnost ovih ranjivosti, neophodno je da administratori utvrde da li su njihovi sistemi ranjivi i procjene nivo rizika sa kojim se suočavaju. Da bi izvršili ovaj zadatak, potrebno je slijediti ove korake:
- Identifikacija Rsync instalacije na Linux sistemima: Rsync se može instalirati na različite načine u različitim distribucijama, tako da ga treba tražiti ručno ili koristiti menadžer paketa kao što je dpkg (zasnovano na Debian distribuciji) ili rpm (zasnovano na Red Hat distribuciji).
- Provjeriti instaliranu Rsync verziju: Ako sistem ima instaliran Rsync i njegova verzija je niža od 3.4.0, ona je potencijalno pogođena ovim ranjivostima. Kako bi se provjerila Rsync verzija, potrebno je pokrenuti komadu: rsync –version
- Izvršite skeniranje ranjivosti: Koristiti alate kao što su Nessus ili OpenVAS da bi se izvršilo sveobuhvatno skeniranje ranjivosti na sistemima i identifikovale sve Rsync instance koje mogu biti ugrožene.
- Procijeniti nivo rizika: Na osnovu rezultata iz koraka 2 i 3, procijeniti potencijalni uticaj ranjivosti na bezbjednosni položaj sistema. Faktori koje treba uzeti u obzir uključuju osjetljivost podataka uskladištenih na pogođenim sistemima, prisustvo drugih ranjivosti koje mogu biti iskorištene u napadu u više koraka i opšte bezbjednosne mjere koje se primjereniju u okruženju.
Primjena neophodnih ažuriranja
Kada je utvrđeno da su sistemi pogođeni ovim ranjivostima, ključna je primjena ažuriranja što je pre moguće kako bi se ublažio rizik od kompromitovanja. Preporuka je da se prate sljedeći koraci kako bi se obezbijedilo Rsync podešavanje:
- Ažurirati menadžer paketa: Uvjeriti se da je menadžer paketa sistema (npr. apt, yum) ažuriran tako što će se pokrenuti odgovarajuću komanda za distribuciju, kao što je sudo apt update ili sudo yum update.
- Nadograditi Rsync na verziju 3.4.0: Nakon ažuriranja menadžera paketa, pokrenuti sljedeću komandu da bi se nadogradila Rsync verzija na najnoviju stabilnu verziju (verzija 3.4.0 i novije):
- Debian zasnovane distribucije: sudo apt install rsync
- Red Hat zasnovane distribucije: sudo yum update rsync
- Provjeriti ažuriranu instalaciju i Rsync verziju: Nakon nadogradnje, potvrdite da sistem sada ima instaliranu verziju Rsync 3.4.0 pokretanjem komande: rsync –version
- Testirati podešavanje: Izvršiti probno pokretanje koristeći Rsync da bi se potvrdilo da ispravno funkcioniše nakon ažuriranja. Na primjer, mogu se kreirati dva direktorijuma i sinhronizovati njihov sadržaj.
ZAKLJUČAK
U današnjem međusobno povezanom svetu, od suštinskog je značaja za organizacije i pojedince da budu na oprezu u pogledu potencijalnih ranjivosti u alatima koji se obično koriste. Nedavno otkriće kritičnih nedostataka u Rsync alatu služi kao podsjetnik da nijedan sistem nije imun na napad. Praćenjem najboljih praksi, održavanjem softvera ažurnim i primjenom robusnih bezbjednosnih mjera, moguće je značajno smanjiti rizik da se postane žrtva sajber prijetnji.
Pored ovih koraka, ključno je ostati informisanim o ranjivostima u nastajanju i zlonamjernim akterima koji ciljaju na određenu industriju ili organizaciju. Držanjem koraka ispred prijetnji, omogućava se proaktivno bavljenje potencijalnim slabostima pre nego što ih zlonamjerni akteri iskoriste.
Na kraju krajeva, dobar položaj u sajber bezbjednosti zahteva stalnu budnost, obrazovanje i prilagođavanje okruženju prijetnji koje se stalno razvija. Dajući prioritet bezbjednosti u svim aspektima poslovanja organizacije, može se pomoći da se obezbijedi integritet i povjerljivost podataka, štiteći i poslovanje i klijente od potencijalne štete.
NAJBOLJE PRAKSE ZA OBEZBJEĐENJE LINUX OKRUŽENJA
Pored ažuriranja Rsync alata, neophodno je pridržavati se i najboljih praksi kada se obezbjeđuje Linux okruženje:
- Uvjeriti se da korisnici imaju minimalne neophodne dozvole za efikasno obavljanje svojih zadataka, što može smanjivati potencijalnu štetu od kompromitovanog naloga;
- Sprovoditi politiku jakih lozinki, primjenjivati redovne promjene lozinki i omogućiti autentifikaciju u više koraka (eng. multi-factor authentication – MFA) gdje god je to moguće radi zaštite od napada grubom silom (eng. brute force attack) i neovlaštenog pristupa;
- Praviti redovne rezervne kopije kritičnih podataka kako bi se osigurao brz oporavak u slučaju kompromitovanja ili kvara sistema;
- Primijeniti strategije segmentacije mreže da bi se ograničilo širenje potencijalnih prijetnji unutar mrežnog okruženja, izolujući osjetljive sisteme i resurse iz manje bezbjednih oblasti;
- Redovno primjenjivati ažuriranja i bezbjednosne ispravke za sve instalirane softvere na Linux sistemima da bi se smanjile ranjivosti koje bi zlonamjerni akteri mogli da iskoriste;
- Implementirati robusno rješenje za nadgledanje kao što je Sysdig Secure, koje može trenutno da otkrije napade kao što su oni koji koriste ranjivosti u Rsync alatu, omogućavajući da se brzo odgovori i ublaži potencijalna šteta;
- Obrazovati korisnike o najboljim praksama za bezbjednu administraciju sistema, uključujući jake lozinke, svest o phishing napadima i navike bezbjednog pregledanja;
- Razvijati plan odgovora na sajber prijetnju koji opisuje jasne korake koje treba slediti u slučaju kompromitovanja ili sumnje u napad na sisteme. Ovaj plan treba da uključi procedure za zadržavanje, iskorjenjivanje, oporavak i analizu nakon incidenta;
- Obavljati redovne bezbjednosne revizije Linux okruženja da bi se identifikovale potencijalne ranjivosti, pogrešne konfiguracije i druge oblasti koje bi zlonamjerni akteri mogli da iskoriste;
- Sarađivati sa širom zajednicom sajber bezbjednosti dijeleći informacije o prijetnjama, najboljim praksama i lekcijama naučenim iz incidenata. Ova saradnja može pomoći u jačanju bezbjednosnog položaja i efikasnijoj zaštiti od novih prijetnji.