Yaklaşık 52.000 internete maruz kalan Tinyproxy örneği, yakın zamanda açıklanan kritik bir uzaktan kod yürütme (RCE) kusuru olan CVE-2023-49606'ya karşı savunmasızdır.
TinyProxy, hızlı, küçük ve hafif olacak şekilde tasarlanmış açık kaynaklı bir HTTP ve HTTPS proxy sunucusudur. Unix benzeri işletim sistemleri için özel olarak tasarlanmıştır ve genellikle küçük işletmeler, kamu WiFi sağlayıcıları ve ev kullanıcıları tarafından kullanılmaktadır.
Ayın başında Cisco Talos, Aralık 2023'te keşfedilen araştırmacıların 1.11.1 (en son) ve 1.10.0 sürümlerini etkileyen kritik bir (CVSS v3: 9.8) kullanımı olan CVE-2023-49606'yı açıkladı. Geliştiricilerden yanıt almadığını iddia ettikten sonra.
Cisco'nun raporu, sunucuyu çökerten ve potansiyel olarak uzaktan kod yürütülmesine yol açabilecek kavram kanıtı istismarları da dahil olmak üzere güvenlik açığı hakkında ayrıntılı bilgi paylaştı.
Talos araştırmacıları, raporda, belirli HTTP başlıklarının (bağlantı ve proxy-connection) doğru bir şekilde yönetilmediği, belleğin serbest bırakılmasına ve daha sonra yanlış erişildiği 'Remove_connection_headers ()' işlevinde kusurun meydana geldiğini açıkladı.
Bu, kimlik doğrulama gerektirmeden basit bir kötü biçimlendirilmiş HTTP isteği (ör. Bağlantı: bağlantı) ile kolayca kullanılabilir.
Cisco, Tinyproxy'nin geliştiricilerini eleştirel kusur konusunda uyarma çabalarına rağmen, yanıt almadığı ve kullanıcıların indirmeleri için hiçbir yama mevcut olmadığı konusunda uyardı.
Cumartesi günü Censys, yaklaşık% 57'si CVE-2023-49606'ya karşı savunmasız olan 90.000 internete maruz kalan Tinyproxy Services gördüğünü bildirdi.
Özellikle, Censys savunmasız sürüm 1.11.1 ve 1.390'da 1.10.0'da çalışan 18.372 örnek buldu.
Bu örneklerin çoğu Amerika Birleşik Devletleri'nde (11.946), ardından Güney Kore (3.732), Çin (675), Fransa (300) ve Almanya'da (150) yer almaktadır.
Pazar günü, Cisco'nun hatayı açıklamasından beş gün sonra, Tinyproxy'nin koruyucuları, sömürüyü önlemek için gerektiği şekilde bellek yönetimini ayarlayan CVE-2023-49606 için bir düzeltme yayınladı.
Bununla birlikte, Tinyproxy bakıcısı, Cisco'nun hatayı düzgün bir şekilde açıkladığını ve raporu projenin talep edilen açıklama kanalları aracılığıyla hiç almadıklarını belirtti.
Github'daki geliştiriciler, "Talos Intelligence'tan bir güvenlik araştırmacısı, Aralık 2023'te Tinyproxy'de, yukarı akışla iletişime geçtiğini ve yayınlanmak üzere 6 ay beklediğini iddia eden Tinyproxy'de kullanılmayan bir güvenlik açığı buldu."
Diyerek şöyle devam etti: "Yukarı akışla iletişim kurmak için ne yaparsa yapsın, etkili değildi ve Tinyproxy ana sayfasında ne de ReadMe.md'de tarif edilen şey değil."
"Kesinlikle duyarlı bir iletişim bulmak için çok uğraşmadı ve muhtemelen GIT günlüğünden rastgele bir e -posta adresi çekti ve orada bir posta gönderdi. Güvenlik açığı 01 Mayıs 2024'te halka açıldı ve ben kadar 5 gün sürdü. IRC'de bir dağıtım paketi bakıcısı tarafından bilgilendirildi. "
Güvenlik düzeltmesini içeren taahhüt (12A8484) yaklaşan 1.11.2 sürümündedir, ancak acil ihtiyaç duyan kişiler, değişimi ana daldan çekebilir veya vurgulanan düzeltmeyi manuel olarak uygulayabilir.
"Bu oldukça kötü bir hata ve potansiyel olarak RCE'ye yol açabilir - henüz çalışan bir istismar görmemiş olmama rağmen," diye devam etti Tinyproxy koruyucular.
"Tinyproxy ya sertleştirilmiş bellek tahsisatçısı otomatik olarak UAF algılayan veya bir adres dezenfektanı ile inşa edilen Musl LIBC 1.2+ kullanıyorsa, kesinlikle izin verdiği şey sunucuya bir DOS saldırısıdır."
Geliştiriciler ayrıca güncellenen kodun yalnızca kimlik doğrulama ve erişim listesi kontrollerini geçtikten sonra tetiklendiğini, yani güvenlik açığının, özellikle kurumsal ağlar gibi kontrollü ortamlarda veya güvenli şifrelerle temel kimlik doğrulama kullananları etkilemeyebileceği anlamına geldiğini belirtti.
HPE Aruba Ağı Arubaos'ta dört kritik RCE kusurunu düzeltiyor
Yeni Ivanti RCE Kususu, 16.000 açıkta kalan VPN ağ geçitlerini etkileyebilir
1.400'den fazla crushftp sunucusu aktif olarak sömürülen hataya karşı savunmasız
Maksimum ciddiyet Flowmon Bug halka açık bir istismar var, şimdi yama
Kubernetes Cryptomining Saldırılarında Hacker Hack OpenMetadata Uygulamaları
Kaynak: Bleeping Computer