Mais de 50% dos 90.310 hosts foram encontrados expondo um serviço Tinyproxy na internet que está vulnerável a uma falha de segurança crítica e não corrigida no ferramenta de proxy HTTP/HTTPS.
O problema, registrado como
CVE-2023-49606
, possui uma pontuação CVSS de 9.8 em um máximo de 10, conforme Cisco Talos, que o descreveu como um bug de uso após liberação (use-after-free) impactando as versões 1.10.0 e 1.11.1, que é a versão mais recente.
"Um cabeçalho HTTP especialmente criado pode acionar o reuso de memória previamente liberada, o que leva à corrupção de memória e pode levar à execução de código remoto," disse Talos em um comunicado na semana passada.
Um atacante precisa fazer uma solicitação HTTP não autenticada para acionar esta vulnerabilidade.
Em outras palavras, um agente de ameaças não autenticado poderia enviar um cabeçalho de Conexão HTTP especialmente projetado para acionar a corrupção de memória que pode resultar em execução de código remoto.
De acordo com dados compartilhados pela empresa de gestão de superfície de ataque Censys, dos 90.310 hosts expondo um serviço Tinyproxy ao público na internet até 3 de Maio de 2024, 52.000 (~57%) deles estão rodando uma versão vulnerável do Tinyproxy.
A maioria dos hosts acessíveis publicamente está localizada nos EUA (32.846), Coreia do Sul (18.358), China (7.808), França (5.208) e Alemanha (3.680).
A Talos, que relatou o problema em 22 de dezembro de 2023, também divulgou um proof-of-concept (PoC) para a falha, descrevendo como o problema com a análise das conexões HTTP Connection poderia ser armado para acionar uma falha e, em alguns casos, execução de código.
Os mantenedores do Tinyproxy, em um conjunto de commits feitos durante o fim de semana, criticaram a Talos por enviar o relatório para um “endereço de e-mail provavelmente desatualizado”, adicionando que foram informados por um mantenedor do pacote Tinyproxy do Debian em 5 de maio de 2024.
"Nenhum problema no GitHub foi aberto, e ninguém mencionou uma vulnerabilidade no chat do IRC mencionado," disse rofl0r em um commit.
"Se o problema tivesse sido relatado no GitHub ou no IRC, o bug teria sido corrigido em um dia." Os usuários são aconselhados a atualizar para a versão mais recente assim que ela se tornar disponível.
Também é recomendado que o serviço Tinyproxy não seja exposto à internet pública.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...