Установено е, че повече от 50 % от 90 310 хоста излагат на риск услугата Tinyproxy в интернет, която е уязвима към критичен непоправен недостатък в сигурността на HTTP/HTTPS прокси инструмента.
Проблемът, проследен като CVE-2023-49606, има CVSS оценка 9,8 от максимална 10, според Cisco Talos, която го описва като грешка, свързана с използването след освобождаване, засягаща версии 1.10.0 и 1.11.1, последната от които е най-новата версия.
„Специално създадено HTTP заглавие може да предизвика повторно използване на освободена преди това памет, което води до повреда на паметта и може да доведе до отдалечено изпълнение на код“, заяви Talos в консултация миналата седмица. „Нападателят трябва да направи неавтентична HTTP заявка, за да задейства тази уязвимост.“
С други думи, неавтентифициран участник в заплахата може да изпрати специално създадено заглавие за HTTP връзка, за да предизвика повреда на паметта, която може да доведе до отдалечено изпълнение на код.
Според данни, споделени от компанията за управление на повърхността на атаките Censys, от 90 310 хоста, излагащи услугата Tinyproxy на публичен интернет към 3 май 2024 г., 52 000 (~57%) от тях работят с уязвима версия на Tinyproxy.
По-голямата част от публично достъпните хостове се намират в САЩ (32 846), Южна Корея (18 358), Китай (7 808), Франция (5 208) и Германия (3 680).
Компанията Talos, която съобщи за проблема на 22 декември 2023 г., също така публикува доказателство за концепцията (PoC) за дефекта, описвайки как проблемът с парсирането на връзките HTTP Connection може да бъде използван като оръжие за предизвикване на срив, а в някои случаи и за изпълнение на код.
Поддържащите Tinyproxy, в набор от коммисии, направени през уикенда, призоваха Talos за изпращане на доклада на вероятно „остарял имейл адрес“, като добавиха, че са били уведомени от поддържащ пакета Debian Tinyproxy на 5 май 2024 г.
„Не е подаден въпрос в GitHub и никой не е споменал за уязвимост в споменатия IRC чат“, заяви rofl0r в ангажимента. „Ако проблемът беше докладван в Github или IRC, грешката щеше да бъде отстранена в рамките на един ден.“
UPDATE
Препоръчва се на потребителите да изтеглят последния клон master от git или да приложат ръчно гореспоменатия commit като кръпка на версия 1.11.1, докато Tinyproxy 1.11.2 не бъде предоставен. Препоръчва се също така услугата Tinyproxy да не е изложена на публичен достъп до интернет.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.