Küçük ağ ortamlarında yaygın olarak kullanılan hafif bir HTTP/HTTPS proxy arka plan programı olan Tinyproxy’de bir güvenlik açığı belirlendi.
CVE-2023-49606 altında kataloglanan güvenlik açığı, uzaktaki saldırganların ana makinede rastgele kod yürütmesine olanak tanıyor.
Bu kusur, saldırganların ağ kaynaklarına yetkisiz erişim elde etmesine ve potansiyel olarak dahili sistemlerin daha fazla kötüye kullanılmasına yol açabileceğinden kritik bir risk oluşturmaktadır.
Tinyproxy, minimalist bir proxy çözümü olacak şekilde tasarlanmıştır, bu da onu sistem kaynaklarının sınırlı olduğu ve tam özellikli bir proxy’nin pratik olmadığı ortamlarda popüler hale getirir.
Etkili Kötü Amaçlı Yazılım Analizi için ANY.RUN’u Şirketinize Entegre Edin
SOC, Tehdit Araştırması veya DFIR departmanlarından mısınız? Öyleyse, 400.000 bağımsız güvenlik araştırmacısından oluşan çevrimiçi topluluğa katılabilirsiniz:
- Gerçek Zamanlı Tespit
- İnteraktif Kötü Amaçlı Yazılım Analizi
- Yeni Güvenlik Ekibi Üyelerinin Öğrenmesi Kolay
- Maksimum veriyle ayrıntılı raporlar alın
- Linux’ta ve tüm Windows İşletim Sistemi Sürümlerinde Sanal Makineyi Kurma
- Kötü Amaçlı Yazılımlarla Güvenli Bir Şekilde Etkileşim Kurun
Tüm bu özellikleri şimdi sanal alana tamamen ücretsiz erişimle test etmek istiyorsanız:
ANY.RUN’u ÜCRETSİZ deneyin
Avantajlarına rağmen bu güvenlik açığı, özellikle güvenliğe duyarlı ortamlarda dağıtımının ciddi risk taşıdığını vurguluyor.
Güvenlik açığı, Tinyproxy’nin HTTP istek ayrıştırma mekanizmasındaki belleğin hatalı işlenmesinden kaynaklanıyor.
Saldırganlar, etkilenen sunucuya özel hazırlanmış HTTP istekleri göndererek bu kusurdan yararlanabilir.
Bu, arabellek taşmasını veya serbest kullanım sonrası hatasını tetikleyerek Tinyproxy işleminin ayrıcalıkları altında rastgele kod yürütülmesine yol açar.
On-Demand Webinar to Secure the Top 3 SME Attack Vectors: Watch for Free.
Tinyproxy, Remove_connection_headers() işlevinde tam olarak bunu yapar:
static int remove_connection_headers (orderedmap hashofheaders)
{
static const char *headers[] = {
"connection",
"proxy-connection"
};
for (i = 0; i != (sizeof (headers) / sizeof (char *)); ++i) {
/* Look for the connection header. If it's not found, return. */
data = orderedmap_find(hashofheaders, headers[i]); (1)
if (!data)
return 0; (2)
...
ptr = data;
while (ptr < data + len) {
orderedmap_remove (hashofheaders, ptr); (3)
...
}
/* Now remove the connection header it self. */
orderedmap_remove (hashofheaders, headers[i]); (4)
}
return 0;
}Kavram Kanıtından Yararlanma
Daha önce de belirtildiği gibi, güvenlik açığına yönelik PoC çok basit bir HTTP isteğidir. Bir varyasyon:
GET / HTTP/1.1Connection: Connection
Host: 192.168.86.166:8000
192.168.86.166:8000 adresinde gerçek bir Ana Bilgisayar olduğunu varsayarak şunları yapabilirsiniz:
cat heap-uaf.poc | nc 127.0.0.1 8888
İlgili Tinyproxy.config şu şekildedir:
Port 8888Listen 127.0.0.1
Sorun ilk olarak popüler açık kaynaklı yazılımları güvenlik açıklarına karşı düzenli olarak tarayan Cisco Talos Intelligence Group tarafından bildirildi.
Keşfin ardından riski azaltmak için yamalar ve güncellemeler hızla yayınlandı.
Tinyproxy kullanıcılarının potansiyel istismarlara karşı koruma sağlamak için en son sürüme güncelleme yapmaları tavsiye edilir.
Azaltma ve Öneriler
Ağ yöneticileri ve Tinyproxy kullanıcıları için geliştiricilerin sağladığı güvenlik yamalarını hemen uygulamak çok önemlidir.
Ayrıca, ağ etkinliğinin, bu güvenlik açığından yararlanma girişimini gösterebilecek olağandışı davranışlar açısından izlenmesi önerilir.
Kuruluşlar ayrıca ağlarını daha fazla korumak için izinsiz giriş tespit sistemleri (IDS) ve düzenli güvenlik denetimleri gibi ek güvenlik önlemlerini uygulamayı düşünmelidir.
Bu güvenlik açığının doğası göz önüne alındığında, Tinyproxy sunucularına ağ erişiminin kısıtlanması ve yalnızca güvenilir cihazların proxy ile iletişim kurabilmesinin sağlanması da önerilir.
Tinyproxy küçük ağlar için önemli avantajlar sunarken, bu olay bize daha az kaynak yoğun uygulamalarda bile güncel güvenlik uygulamalarının sürdürülmesinin önemini hatırlatıyor.
Is Your Network Under Attack? - Read CISO’s Guide to Avoiding the Next Breach - Download Free Guide