ACTUALITÉS - CYBERSECURITÉ

Liste complète des CVE et leurs impacts

CVE-2024-12084 : Dépassement de tampon

• Description : Cette vulnérabilité provient d’une mauvaise gestion des longueurs de sommes de contrôle dans le démon Rsync, ce qui conduit à des écritures hors limites dans le tampon. Elle permet une exécution de code arbitraire.
• Versions concernées : Rsync 3.2.7 à < 3.4.0.
• Mitigation : Compiler Rsync avec des options spécifiques pour désactiver la prise en charge des fonctions SHA256 et SHA512 (--disable-sha256 et --disable-sha512).
• Score CVSS : 9.8 (Critique).

CVE-2024-12085 : Fuite d’informations via une pile non initialisée

• Description : Une mauvaise initialisation de la pile expose des données sensibles lorsque Rsync compare des sommes de contrôle de fichiers. Les attaquants peuvent manipuler ces longueurs de checksum pour exploiter cette fuite.
• Versions concernées : Toutes les versions avant Rsync 3.4.0.
• Mitigation : Compiler Rsync avec l’option -ftrivial-auto-var-init=zero pour initialiser les variables de la pile à zéro.
• Score CVSS : 7.5 (Élevé).

CVE-2024-12086 : Fuite de fichiers arbitraires côté client

• Description : Cette vulnérabilité permet à un serveur malveillant d'énumérer et de reconstruire des fichiers arbitraires du client byte par byte en manipulant les valeurs des sommes de contrôle lors du transfert de fichiers.
• Versions concernées : Toutes les versions avant Rsync 3.4.0.
• Mitigation : Mettre à jour vers Rsync 3.4.0.
• Score CVSS : 6.1 (Modéré).

Traversée de chemin via l’option --inc-recursive (CVE-2024-12087)

• Description : Cette faille résulte d’une vérification insuffisante des liens symboliques lors de l’utilisation de l’option --inc-recursive. Un serveur malveillant peut écrire des fichiers en dehors des répertoires prévus sur le client.
• Versions concernées : Toutes les versions avant Rsync 3.4.0.
• Mitigation : Désactiver l’option --inc-recursive ou mettre à jour vers la version corrigée.
• Score CVSS : 6.5 (Modéré).

CVE-2024-12088 : Contournement de l’option --safe-links

• Description : Rsync ne vérifie pas correctement les destinations des liens symboliques contenant d’autres liens, permettant un contournement de l’option --safe-links. Cela peut entraîner une traversée de chemin et l’écriture de fichiers en dehors des répertoires autorisés.
• Versions concernées : Toutes les versions avant Rsync 3.4.0.
• Mitigation : Mettre à jour Rsync et vérifier les configurations de liens symboliques.
• Score CVSS : 6.5 (Modéré).

CVE-2024-12747 : Condition de concurrence sur les liens symboliques

• Description : Une condition de concurrence dans la gestion des liens symboliques peut permettre aux attaquants d’accéder à des fichiers sensibles ou d’escalader leurs privilèges.
• Versions concernées : Toutes les versions avant Rsync 3.4.0.
• Mitigation : Appliquer la mise à jour Rsync 3.4.0.
• Score CVSS : 5.6 (Faible).

Origine et découverte des vulnérabilités

Ces failles ont été identifiées par une équipe de chercheurs en cybersécurité, notamment ceux de Google Cloud, avec la collaboration d’experts indépendants. Leur analyse a mis en évidence des faiblesses dans des fonctions fondamentales de Rsync, héritées de versions anciennes.

Impact global

Les chercheurs estiment que plus de 660 000 serveurs Rsync exposés sur Internet pourraient être vulnérables à ces attaques. Les configurations qui permettent un accès anonyme ou qui sont directement accessibles via des ports ouverts sont particulièrement à risque. Les secteurs utilisant massivement Rsync, comme l’hébergement cloud ou les sauvegardes, pourraient subir des interruptions majeures si ces failles sont exploitées à grande échelle.

Correctifs et recommandations

Les développeurs de Rsync ont publié la version 3.4.0, qui corrige toutes ces vulnérabilités. Voici les étapes pour sécuriser vos serveurs :

Mettre à jour Rsync :

• Téléchargez la version 3.4.0 depuis le site officiel de Rsync.
• Installez la mise à jour via les gestionnaires de paquets (apt, yum, etc.) pour votre distribution.

Renforcer les configurations :

• Désactivez l’accès anonyme au service Rsync si celui-ci n’est pas absolument nécessaire.
• Restreignez l’accès aux adresses IP de confiance via des pare-feu.
• Activez Rsync via SSH pour bénéficier d’un chiffrement et d’une authentification renforcée.

Surveiller les activités :

• Analysez régulièrement les logs du serveur Rsync pour détecter des connexions suspectes.
• Configurez des outils de détection d’intrusion pour surveiller l’activité réseau.

Pourquoi cette vulnérabilité est critique

La publication d’un code d’exploitation public (Proof of Concept - PoC) pour CVE-2024-12084 et d’autres failles associées amplifie la menace. Bien que l’exploitation puisse nécessiter une certaine expertise technique, l’accès à ces PoC rend ces vulnérabilités plus accessibles aux attaquants. Si elles sont exploitées, ces failles peuvent compromettre des données sensibles, perturber des services critiques et permettre des attaques en cascade dans les environnements réseau.

Conclusion

Ces vulnérabilités montrent à quel point des outils critiques comme Rsync, omniprésents dans les infrastructures, peuvent devenir des cibles majeures pour les attaquants. Avec plus de 660 000 serveurs exposés, il est impératif pour les administrateurs système de réagir rapidement :

• Appliquez les correctifs disponibles.
• Renforcez vos configurations.
• Adoptez une vigilance proactive.

La sécurisation de vos systèmes passe par une mise à jour immédiate et une révision des pratiques de gestion des services critiques comme Rsync. N’attendez pas que ces failles soient activement exploitées pour agir.

Vous souhaitez en savoir plus ou bien être accompagné par nos services sur ce genre de thématique ?