Bilisheep

**Nome do Software Vulnerável e Versões Afetadas** Versões do RustFS anteriores à 1.0.0-alpha.77 **Descrição** O RustFS, um sistema de armazenamento de objetos distribuído desenvolvido em Rust, utiliza um token estático hardcoded, `"rustfs rpc"`, para autenticação gRPC em versões anteriores à 1.0.0-alpha.77. Este token está publicamente exposto no repositório de código-fonte, hardcoded tanto no lado do cliente quanto no do servidor, e carece de um mecanismo de rotação. Um atacante com acesso de rede à porta gRPC pode utilizar este token para se autenticar e realizar operações privilegiadas, incluindo destruição de dados, manipulação de políticas e alterações na configuração do cluster. Relatos indicam mais de 250 instâncias do RustFS publicamente acessíveis em todo o mundo. A questão envolve uma credencial hardcoded que permite o bypass de autenticação em instâncias expostas à internet através da porta de gerenciamento gRPC. A vulnerabilidade foi introduzida em 27 de setembro de 2024, divulgada em 1 de outubro de 2024 e corrigida em 5 de janeiro de 2026, resultando em aproximadamente 15 meses de exposição. O **endpoint da API** utilizado para autenticação é o serviço gRPC, e o parâmetro vulnerável é o cabeçalho `authorization`, que espera o valor `"rustfs rpc"`. **Recomendações** Atualize para a versão 1.0.0-alpha.77 ou posterior.