90.310 ana bilgisayarın %50’sinden fazlasının, internetteki HTTP/HTTPS proxy aracındaki yama yapılmamış kritik bir güvenlik açığına karşı savunmasız olan bir Tinyproxy hizmetini açığa çıkardığı tespit edildi.
Sorun şu şekilde izlendi: CVE-2023-49606Cisco Talos’a göre, en son sürüm olan 1.10.0 ve 1.11.1 sürümlerini etkileyen, ücretsiz kullanımdan sonra kullanılabilen bir hata olarak tanımlanan CVSS puanı maksimum 10 üzerinden 9,8’dir.
Talos geçen hafta bir danışma belgesinde, “Özel hazırlanmış bir HTTP üstbilgisi, daha önce boşaltılan belleğin yeniden kullanımını tetikleyebilir, bu da belleğin bozulmasına ve uzaktan kod yürütülmesine yol açabilir” dedi. “Bir saldırganın bu güvenlik açığını tetikleyebilmesi için kimliği doğrulanmamış bir HTTP isteği yapması gerekiyor.”
Başka bir deyişle, kimliği doğrulanmamış bir tehdit aktörü, uzaktan kod yürütülmesine neden olabilecek bellek bozulmasını tetiklemek için özel hazırlanmış bir HTTP Bağlantısı başlığı gönderebilir.
Saldırı yüzey yönetimi şirketi Censys tarafından paylaşılan verilere göre, 3 Mayıs 2024 itibarıyla halka açık internete bir Tinyproxy hizmeti sunan 90.310 ana bilgisayardan 52.000’i (~%57) Tinyproxy’nin savunmasız bir sürümünü çalıştırıyor.
Kamuya açık ana bilgisayarların çoğunluğu ABD (32.846), Güney Kore (18.358), Çin (7.808), Fransa (5.208) ve Almanya’da (3.680) bulunmaktadır.
Sorunu 22 Aralık 2023’e bildiren Talos, aynı zamanda kusur için bir kavram kanıtı (PoC) yayınladı; bu, HTTP Bağlantı bağlantılarının ayrıştırılmasıyla ilgili sorunun bir çökmeyi tetiklemek için nasıl silah haline getirilebileceğini ve bazı durumlarda, kod yürütme.
Tinyproxy’nin bakımcıları, hafta sonu yapılan bir dizi taahhütte Talos’a raporu muhtemelen “güncel olmayan bir e-posta adresine” göndermesi konusunda çağrıda bulundu ve 5 Mayıs 2024’te bir Debian Tinyproxy paket bakımcısı tarafından bilgilendirildiklerini ekledi.
rofl0r bir taahhütte “Hiçbir GitHub sorunu bildirilmedi ve hiç kimse söz konusu IRC sohbetinde bir güvenlik açığından bahsetmedi” dedi. “Sorun Github veya IRC’de bildirilmiş olsaydı, hata bir gün içinde giderilirdi.”
Kullanıcıların, kullanıma sunuldukça en son sürüme güncelleme yapmaları önerilir. Ayrıca Tinyproxy hizmetinin halka açık internete açık olmaması da önerilir.