2025年1月14日、rsyncユーティリティに6件の脆弱性が発表され、その中で最も深刻なCVE-2024-12084はヒープオーバーフローによりリモートコード実行のリスクを伴います。
rsyncはファイルやディレクトリの同期・転送に広く利用され、デーモンとして動作する際はTCPポート873をリッスンするため、外部からの攻撃に晒されやすい状況です。
本記事では、Falcoを活用してrsyncおよびrsyncdが通常実行すべきでないシェルコマンドを検知するルール例を紹介。
Sysdig Secure環境では、これらのルールが自動的に適用され、疑わしいプロセス実行を検出すると「Kill Process」や「Kill Container」による迅速な対応が可能となります。
影響を受けるrsyncバージョンは3.2.7以上3.4.0未満であり、直ちにバージョン3.4.0へのアップグレードを行うか、インターネット公開を避ける設定でリスク軽減を図ることが推奨されます。