Você está visualizando atualmente Falha Crítica no Tinyproxy Abre Mais de 50.000 Hosts para Execução Remota de Código

Falha Crítica no Tinyproxy Abre Mais de 50.000 Hosts para Execução Remota de Código

Mais de 50% dos 90.310 hosts foram encontrados expondo um serviço Tinyproxy na internet que é vulnerável a uma falha crítica de segurança não corrigida na ferramenta de proxy HTTP/HTTPS.

O problema, rastreado como CVE-2023-49606, possui uma pontuação CVSS de 9,8 em um máximo de 10, conforme a Cisco Talos, que o descreveu como um bug de uso após liberação que impacta as versões 1.10.0 e 1.11.1, sendo esta última a versão mais recente.

“Um cabeçalho HTTP especialmente criado pode disparar o reuso de memória previamente liberada, o que leva à corrupção de memória e poderia resultar em execução de código remoto,” disse o Talos em um aviso na semana passada. “Um invasor precisa fazer uma solicitação HTTP não autenticada para acionar essa vulnerabilidade.”

Em outras palavras, um ator de ameaça não autenticado poderia enviar um cabeçalho HTTP Connection especialmente criado para acionar a corrupção de memória que pode resultar em execução de código remoto.

De acordo com dados compartilhados pela empresa de gerenciamento de superfície de ataque Censys, dos 90.310 hosts expondo um serviço Tinyproxy para a internet pública até 3 de maio de 2024, 52.000 (~57%) deles estão executando uma versão vulnerável do Tinyproxy.

A maioria dos hosts publicamente acessíveis está localizada nos EUA (32.846), Coreia do Sul (18.358), China (7.808), França (5.208) e Alemanha (3.680).

O Talos, que relatou o problema em 22 de dezembro de 2023, também lançou um comprovante de conceito (PoC) para a falha, descrevendo como o problema com a análise de conexões HTTP Connection poderia ser usado para acionar uma falha e, em alguns casos, execução de código.

Os mantenedores do Tinyproxy, em um conjunto de commits feitos no fim de semana, criticaram o Talos por enviar o relatório para um “endereço de e-mail provavelmente desatualizado”, acrescentando que foram informados por um mantenedor do pacote Debian Tinyproxy em 5 de maio de 2024.

Atualização: Correção Disponível

Os usuários são aconselhados a obter a última versão da branch master do git ou aplicar manualmente o commit mencionado como um patch na versão 1.11.1 até que o Tinyproxy 1.11.2 esteja disponível. Também é recomendável que o serviço Tinyproxy não seja exposto à internet pública.

Tinyproxy versão 1.11.2 agora disponível

Os mantenedores do Tinyproxy lançaram oficialmente a versão 1.11.2 para corrigir a grave falha de uso após liberação que poderia permitir a um invasor não autenticado chegar à execução de código remoto.