Lỗ hổng Tiny Proxy nghiêm trọng của 50.000 máy chủ để thực thi mã từ xa


 Hơn 50% trong số 90.310 máy chủ đã được tìm thấy để lộ một dịch vụ Tinyproxy trên internet dễ bị lỗ hổng bảo mật nghiêm trọng chưa được vá trong công cụ proxy HTTP / HTTPS.

Vấn đề, được theo dõi là CVE-2023-49606, có điểm CVSS là 9,8 trên tối đa 10, theo Cisco Talos, mô tả đây là lỗi sử dụng sau khi miễn phí ảnh hưởng đến phiên bản 1.10.0 và 1.11.1, là phiên bản mới nhất.

"Một tiêu đề HTTP được chế tạo đặc biệt có thể kích hoạt việc sử dụng lại bộ nhớ đã được giải phóng trước đó, dẫn đến hỏng bộ nhớ và có thể dẫn đến thực thi mã từ xa", Talos cho biết trong một tư vấn tuần trước. "Kẻ tấn công cần thực hiện một yêu cầu HTTP chưa được xác thực để kích hoạt lỗ hổng này."

Nói cách khác, một tác nhân đe dọa chưa được xác thực có thể gửi một tiêu đề Kết nối HTTP được chế tạo đặc biệt để kích hoạt hỏng bộ nhớ có thể dẫn đến thực thi mã từ xa.

Theo dữ liệu được chia sẻ bởi công ty quản lý bề mặt tấn công Censys, trong số 90.310 máy chủ để lộ dịch vụ Tinyproxy cho internet công cộng tính đến ngày 3 tháng 5 năm 2024, 52.000 (~ 57%) trong số đó đang chạy phiên bản Tinyproxy dễ bị tấn công.

Phần lớn các máy chủ có thể truy cập công khai được đặt tại Hoa Kỳ (32.846), Hàn Quốc (18.358), Trung Quốc (7.808), Pháp (5.208) và Đức (3.680).

Talos, đã báo cáo vấn đề đến ngày 22 tháng 12 năm 2023, cũng đã phát hành một bằng chứng khái niệm (PoC) cho lỗ hổng, mô tả cách vấn đề với việc phân tích cú pháp các kết nối HTTP Connection có thể được vũ khí hóa để kích hoạt sự cố và trong một số trường hợp, thực thi mã.

Những người bảo trì Tinyproxy, trong một tập hợp các cam kết được thực hiện vào cuối tuần, đã kêu gọi Talos gửi báo cáo đến một "địa chỉ email lỗi thời", thêm rằng họ đã được biết bởi một người bảo trì gói Debian Tinyproxy vào ngày 5 tháng 5 năm 2024.

"Không có vấn đề GitHub nào được đệ trình và không ai đề cập đến lỗ hổng trên cuộc trò chuyện IRC được đề cập", rofl0r cho biết trong một cam kết. "Nếu vấn đề đã được báo cáo trên Github hoặc IRC, lỗi sẽ được sửa trong vòng một ngày."

Người dùng nên cập nhật lên phiên bản mới nhất khi chúng có sẵn. Chúng tôi cũng khuyến nghị rằng dịch vụ Tinyproxy không được tiếp xúc với internet công cộng.

Mới hơn Cũ hơn