QNAP telah memperbaiki enam kerentanan rsync yang memungkinkan penyerang mendapatkan eksekusi kode jarak jauh pada perangkat Network Attached Storage (NAS) yang belum ditambal.
Rsync adalah alat sinkronisasi file sumber terbuka yang mendukung sinkronisasi file langsung melalui daemonnya, transfer SSH melalui SSH, dan transfer tambahan yang menghemat waktu dan bandwidth.
Ini banyak digunakan oleh banyak solusi pencadangan seperti Rclone, DeltaCopy, dan ChronoSync, serta dalam operasi manajemen cloud dan server serta distribusi file publik.
Kelemahannya dilacak sebagai CVE-2024-12084 (heap buffer overflow), CVE-2024-12085 (kebocoran informasi melalui tumpukan yang tidak diinisialisasi), CVE-2024-12086 (server membocorkan file klien sewenang-wenang), CVE-2024-12087 (path traversal melalui opsi –inc-recursive), CVE-2024-12088 (melewati –pilihan tautan aman), dan CVE-2024-12747 (kondisi balapan tautan simbolis).
QNAP mengatakan hal itu memengaruhi HBS 3 Hybrid Backup Sync 25.1.x, milik perusahaan solusi pencadangan data dan pemulihan bencana, yang mendukung layanan penyimpanan lokal, jarak jauh, dan cloud.
Dalam nasihat keamanan yang dirilis pada hari Kamis, QNAP mengatakan telah mengatasi kerentanan ini di HBS 3 Hybrid Backup Sync 25.1.4.952 dan menyarankan pelanggan untuk memperbarui perangkat lunak mereka ke versi terbaru.
Untuk memperbarui instalasi Hybrid Backup Sync pada perangkat NAS, Anda harus:
- Masuk ke QTS atau QuTS hero sebagai administrator.
- Membuka Pusat Aplikasi dan cari Sinkronisasi Cadangan Hibrid HBS 3.
- Tunggu hingga HBS 3 Hybrid Backup Sync muncul di hasil pencarian
- Klik Memperbarui kemudian OKE dalam pesan konfirmasi tindak lanjut.
Kelemahan Rsync ini dapat digabungkan untuk menciptakan rantai eksploitasi yang mengarah pada kompromi sistem jarak jauh. Penyerang hanya memerlukan akses baca anonim ke server yang rentan.
“Jika digabungkan, dua kerentanan pertama (heap buffer overflow dan kebocoran informasi) memungkinkan klien mengeksekusi kode arbitrer pada perangkat yang menjalankan server Rsync,” memperingatkan CERT/CC satu minggu yang lalu kapan rsync 3.4.0 dirilis dengan perbaikan keamanan.
“Klien hanya memerlukan akses baca anonim ke server, seperti mirror publik. Selain itu, penyerang dapat mengambil kendali server jahat dan membaca/menulis file sewenang-wenang dari klien mana pun yang terhubung.”
Pencarian Shodan muncul lebih dari 700.000 alamat IP dengan server rsync terbuka. Namun, tidak jelas berapa banyak dari mereka yang rentan terhadap serangan yang mengeksploitasi kerentanan keamanan ini karena eksploitasi yang berhasil memerlukan kredensial yang valid atau server yang dikonfigurasi untuk koneksi anonim.
