Tinyproxy: как «поломанный» канал связи стал причиной уязвимости 50 000 серверов

Добро пожаловать на наш форум!

Спасибо за посещение нашего сообщества. Пожалуйста, зарегистрируйтесь или войдите, чтобы получить доступ ко всем функциям.


Tetrahedron

Автор

Регистрация
Сообщений
491
Репутация
22
Сделок
Более 50% из 90 310 серверов, использующих прокси-инструмент Tinyproxy, уязвимы из-за критической ошибки, получившей обозначение CVE-2023-49606 и оценку в 9,8 из 10 возможных баллов по шкале CVSS. Ошибка классифицируется как уязвимость типа «Use-After-Free» в версиях Tinyproxy 1.10.0 и 1.11.1.
Согласно отчёту специалистов Cisco Talos, отправка специально сформированного HTTP-заголовка может привести к повторному использованию уже освобождённой памяти, вызывая её повреждение, что, в свою очередь, может привести к выполнению удалённого кода.
По данным компании Censys, около 57% или 52 000 из 90 310 серверов с открытым доступом к Tinyproxy по состоянию на 3 мая 2024 года работали на уязвимой версии инструмента. Большинство таких серверов расположено в США (32 846), Южной Корее (18 358), Китае (7 808), Франции (5 208) и Германии (3 680).
Cisco Talos сообщила разработчикам Tinyproxy об уязвимости 22 декабря 2023 года и тогда же предоставила PoC-эксплойт, демонстрирующий как эта проблема может быть использована для вызова сбоев и, в некоторых случаях, выполнения произвольного кода.
Тем не менее, один из ведущих разработчиков Tinyproxy под ником «rofl0r» заявил, что сообщение о проблеме было направлено специалистами Talos на неактуальный электронный адрес. В связи с этим команде разработки стало известно о проблеме лишь вчера, пятого мая, после того, как о ней сообщил один из разработчиков, сопровождающий версию пакета Tinyproxy для Debian.
Иными словами, проблема оставалась нерешённой, а серверы были уязвимы для атак практически полгода. Более того, rofl0r заявил, что если бы проблема была зарегистрирована через GitHub или IRC, то она была бы решена в течение суток.
Подобная ситуация создала необычный прецедент, который, возможно, заставит специалистов Talos задуматься о некоторой неэффективности выбранных ими методов коммуникации с разработчиками программного обеспечения.
Тем временем, разработчики Tinyproxy советуют пользователям обновить версию инструмента, как только появится возможность, а также рекомендуют не оставлять сервис открытым для общего доступа в Интернете.
В начале апреля мы рассказывали о похожей ситуации, произошедшей с крупными производителями компьютерного оборудования Intel и Lenovo. Как оказалось, их программное обеспечение таило в себе уязвимость, исправленную больше шести лет назад. Это случилось из-за того, что недостатку не был присвоен CVE-идентификатор, в связи с чем исправление не было задействовано в продуктах сторонних поставщиков.
Правильное, полное и своевременное информирование об уязвимостях имеет важнейшее значение для обеспечения кибербезопасности и защиты пользователей от потенциальных угроз.
Инцидент с уязвимостью в Tinyproxy показывает необходимость совершенствования процессов обмена информацией между исследователями кибербезопасности и разработчиками программного обеспечения, чтобы избежать подобных ситуаций в будущем.
 
Сверху