Más del 50% de los 90,310 hosts han sido encontrados exponiendo un servicio Tinyproxy en internet que es vulnerable a una falla de seguridad crítica no parcheada en la herramienta de proxy HTTP/HTTPS.
El problema, rastreado como CVE-2023-49606, tiene una puntuación CVSS de 9.8 sobre un máximo de 10, según Cisco Talos, que lo describió como un error de uso después de liberación que afecta a las versiones 1.10.0 y 1.11.1, que es la última versión.
‘Un encabezado HTTP especialmente diseñado puede desencadenar la reutilización de memoria previamente liberada, lo que conduce a la corrupción de memoria y podría resultar en la ejecución de código remoto‘, dijo Talos en un aviso la semana pasada.
‘Un atacante necesita hacer una solicitud HTTP no autenticada para desencadenar esta vulnerabilidad.’
En otras palabras, un actor de amenazas no autenticado podría enviar un encabezado de conexión HTTP especialmente diseñado para desencadenar la corrupción de memoria que puede resultar en la ejecución de código remoto.
‘La ejecución remota de código es una preocupación importante, especialmente en entornos de seguridad informática.’
Según datos compartidos por la empresa de gestión de superficie de ataque Censys, de los 90,310 hosts que exponen un servicio Tinyproxy en internet público hasta el 3 de mayo de 2024, 52,000 (~57%) de ellos están ejecutando una versión vulnerable de Tinyproxy.
La mayoría de los hosts accesibles públicamente están ubicados en EE. UU. (32,846), Corea del Sur (18,358), China (7,808), Francia (5,208) y Alemania (3,680).
‘Esta distribución geográfica resalta la naturaleza global del problema de seguridad.’
Talos, que informó sobre el problema el 22 de diciembre de 2023, también ha publicado un prueba de concepto (PoC) para la falla, describiendo cómo se podría utilizar el problema con el análisis de conexiones de conexión HTTP para desencadenar un bloqueo y, en algunos casos, la ejecución de código.
Los maintainers de Tinyproxy, en una serie de commits realizados durante el fin de semana, criticaron a Talos por enviar el informe a una ‘dirección de correo electrónico probablemente desactualizada,’ añadiendo que se enteraron a través de un mantenedor del paquete Debian Tinyproxy el 5 de mayo de 2024.
‘Ser proactivo en la solución de problemas de seguridad es crucial en la era digital actual.’
Se recomienda a los usuarios que se actualicen a la última versión tan pronto como esté disponible. También se recomienda que el servicio Tinyproxy no se exponga a internet público.
‘Realizar actualizaciones periódicas y limitar la exposición pública puede ayudar a mitigar los riesgos de seguridad en línea.’
Vía The Hacker News