CVE-2024-12084 è una vulnerabilità critica che colpisce i servizi rsync a livello globale, con oltre 52 milioni di istanze potenzialmente esposte. Questa vulnerabilità è attivamente sfruttata in ambienti reali e può portare all’esecuzione di codice da remoto. È fondamentale che le organizzazioni che utilizzano rsync valutino la propria esposizione e prendano provvedimenti immediati.

Riassunto tecnico

CVE-2024-12084 è una vulnerabilità di overflow del buffer heap in rsync, che consente a un attaccante di sfruttare un valore s2length non correttamente validato nell’intestazione sum_struct. Inviando un payload appositamente costruito a un server vulnerabile, un attaccante può attivare l’overflow, che può portare all’esecuzione di codice da remoto. Questo può essere ottenuto inviando un’intestazione sum costruita in modo tale da manipolare il parametro s2length, provocando la corruzione della memoria.

Raccomandazioni

• Applicare subito le patch: installare le patch più recenti per rsync per mitigare il rischio.
• Limitare l’accesso: restringere l’accesso al servizio rsync per indirizzo IP o rete.
• Disabilitare i moduli inutilizzati: disabilitare eventuali moduli non utilizzati (ad esempio, files_anon) per ridurre la superficie di attacco.
• Monitorare i log: monitorare continuamente i log di sistema alla ricerca di attività insolite o tentativi di sfruttamento.