Más del 50% de los 90,310 servidores han sido encontrados exponiendo un servicio de Tinyproxy en internet que es vulnerable a una grave falla de seguridad sin parchear en la herramienta de proxy HTTP/HTTPS.
El problema, identificado como CVE-2023-49606, tiene una puntuación CVSS de 9,8 sobre un máximo de 10, según Cisco Talos, que lo describió como un bug de uso después de liberar memoria que afecta a las versiones 1.10.0 y 1.11.1, que es la última versión.
“Un encabezado HTTP especialmente diseñado puede desencadenar la reutilización de memoria liberada previamente, lo que lleva a la corrupción de memoria y podría llevar a la ejecución de código remoto,” dijo Talos en un aviso la semana pasada. “Un atacante necesita hacer una solicitud HTTP no autenticada para activar esta vulnerabilidad.”
En otras palabras, un actor amenazante no autenticado podría enviar un encabezado de conexión HTTP especialmente diseñado para desencadenar la corrupción de memoria que puede resultar en la ejecución remota de código.
Según los datos compartidos por la empresa de gestión de superficie de ataque Censys, de los 90,310 servidores exponiendo un servicio de Tinyproxy a internet público hasta el 3 de mayo de 2024, 52,000 (~57%) de ellos están ejecutando una versión vulnerable de Tinyproxy.
La mayoría de los servidores públicamente accesibles se encuentran en EE. UU. (32,846), Corea del Sur (18,358), China (7,808), Francia (5,208) y Alemania (3,680).
Talos, que informó sobre el problema el 22 de diciembre de 2023, también ha lanzado una prueba de concepto (PoC) para la falla, describiendo cómo el problema con la análisis de las conexiones de conexión HTTP podría ser utilizado para provocar un bloqueo y, en algunos casos, la ejecución de código.
Los maintainers de Tinyproxy, en un conjunto de commits realizados durante el fin de semana, criticaron a Talos por enviar el informe a una “dirección de correo electrónico probablemente obsoleta,” agregando que fueron informados por un mantenedor del paquete Debian Tinyproxy el 5 de mayo de 2024.
“No se presentó ningún problema en Github, y nadie mencionó una vulnerabilidad en el chat de IRC mencionado,” dijo rofl0r en un commit. “Si el problema se hubiera reportado en Github o IRC, el error se habría solucionado en un día.”
Se recomienda a los usuarios que actualicen a la última versión tan pronto como estén disponibles. También se recomienda que el servicio de Tinyproxy no esté expuesto a internet público.