Mais de 50% dos 90.310 hosts foram encontrados expondo um serviço Tinyproxy na Web que é vulnerável a uma falha crítica de segurança não corrigida na ferramenta de proxy HTTP/HTTPS.
O problema, rastreado como CVE-2023-49606carrega uma pontuação CVSS de 9,8 de um máximo de 10, de acordo com Cisco Talos, que o descreveu como um bug de uso após liberação que afeta as versões 1.10.0 e 1.11.1, que é a versão mais recente.
“Um cabeçalho HTTP especialmente criado pode desencadear a reutilização de memória liberada anteriormente, o que leva à corrupção da memória e pode levar à execução remota de código”, disse Talos em um comunicado na semana passada. “Um invasor precisa fazer uma solicitação HTTP não autenticada para acionar esta vulnerabilidade.”
Em outras palavras, um agente de ameaça não autenticado pode enviar um cabeçalho de conexão HTTP especialmente criado para acionar corrupção de memória que pode resultar na execução remota de código.
De acordo com dados compartilhados pela empresa de gerenciamento de superfície de ataque Censys, dos 90.310 hosts que expuseram um serviço Tinyproxy à Web pública em 3 de maio de 2024, 52.000 (~57%) deles estavam executando uma versão vulnerável do Tinyproxy.
A maioria dos hosts acessíveis ao público está localizada nos EUA (32.846), Coreia do Sul (18.358), China (7.808), França (5.208) e Alemanha (3.680).
Talos, que relatou o problema em 22 de dezembro de 2023, também lançou uma prova de conceito (PoC) para a falha, descrevendo como o problema com a análise de conexões de conexão HTTP poderia ser transformado em arma para desencadear uma falha e, em alguns casos, execução de código.
Os mantenedores do Tinyproxy, em um conjunto de commits feitos no fim de semana, criticaram o Talos por enviar o relatório para um provável “endereço de e-mail desatualizado”, acrescentando que foram informados por um mantenedor do pacote Debian Tinyproxy em 5 de maio de 2024.
“Nenhum problema do GitHub foi registrado e ninguém mencionou uma vulnerabilidade no chat IRC mencionado”, disse rofl0r em um commit. “Se o problema tivesse sido relatado no Github ou IRC, o bug teria sido corrigido em um dia.”
Os usuários são aconselhados a atualizar para a versão mais recente assim que estiverem disponíveis. Também é recomendado que o serviço Tinyproxy não seja exposto à Web pública.
