Küçük ağlar için kullanılan açık kaynaklı bir proxy sunucusunun yaklaşık 50.000 örneği saldırıya maruz kalıyor hizmet reddi (DoS) saldırılar ve hatta potansiyel olarak uzaktan kod yürütme (RCE), bir HTTP isteği tarafından kullanılabilecek bir kusur aracılığıyla.
Şu şekilde izlenen bir serbest kullanım sonrası kusur CVE-2023-49606 Tinyproxy 1.11.1 ve 1.10.0 sürümlerinde mevcuttur; saldırganların DoS’a neden olabilecek bellek bozulmasını tetiklemek için basit, özel hazırlanmış bir HTTP Bağlantısı başlığı göndermesine olanak tanıyor. yeni bir tavsiye Tehdit avlama platformu sağlayıcısı Censys tarafından. Ayrıca daha karmaşık bir saldırı da RCE saldırılarına izin verebilir. Kusur, CVSS güvenlik açığı ciddiyet ölçeğinde 10 üzerinden 9,8 gibi kritik bir puan alıyor.
Tinyproxy küçük ağlarda kullanılmak üzere tasarlanmış, Unix benzeri işletim sistemleri için hafif, açık kaynaklı bir HTTP/S proxy’sidir; dolayısıyla Censys’e göre kullanıcılarının çoğu muhtemelen küçük işletmeler, halka açık Wi-Fi sağlayıcıları ve ev kullanıcıları olacaktır. Ancak kuruluşlar tarafından test veya geliştirme amacıyla da kullanıldığı için saldırganlar sunucunun bu örneklerini de tehlikeye atabilir.
Danışmana göre, “Daha küçük ağlara yönelik tasarımına rağmen, bir proxy sunucusunun tehlikeye atılması, veri ihlalleri ve hizmet kesintileri gibi ciddi sonuçlara yol açabilir.”
Henüz bu kusurdan aktif olarak yararlanıldığı bilinen bir durum olmamasına rağmen, Censys tarafından yapılan bir İnternet araştırması, 3 Mayıs itibarıyla Tinyproxy hizmetini açığa çıkaran 90.000’den fazla ana bilgisayarın bulunduğunu gösterdi. Danışmana göre bunların yüzde 57’sinden fazlası istismara karşı potansiyel olarak savunmasız durumda.
Tinyproxy sunucularının en yoğun olduğu ağ, Amazon Web Services’in AMAZON-02’sidir; Censys’e göre “bu yazılımın muhtemelen daha küçük, bireysel kullanıcılar tarafından kullanıldığı göz önüne alındığında bu mantıklıdır”.
Kamu İstismarı Mevcuttur – Fakat İşe Yarar mı?
Cisco Talos 1 Mayıs’ta yayınlandı kavram kanıtı istismarı kusur için basit bir HTTP isteğinin CVE-2023-49606’yı nasıl tetikleyebileceğini gösterdiğini söylüyor. Ancak GitHub’ta yayınla Tinyproxy projesinin geliştiricisi (çevrimiçi adı “rofl0r” olan kişi) Cisco Talos’un kusura ve bu kusurun nasıl kullanıldığına ilişkin açıklamasını, gerçek hataya odaklanmayan veya bunun nasıl gerçekleştiğinin gerçek bir tasvirini yapmayan “işe yaramaz ayrıntılar” olarak adlandırdı. onu istismar etmek.
Bakımcı, “iğrenç” olarak kabul edilen kusuru açıklamak için gönderiye devam eder ve bir bağlantı ekler. güncelleme Tinyproxy’nin bakımcısı bu güvenlik açığını giderdiğini söyledi.
Cisco Talos, rofl0r’ın araştırmacılarının kusur ve istismarına ilişkin değerlendirmesini çürüten iddialara ilişkin Çarşamba günü yapılan yorum talebine hemen yanıt vermedi.
Tinyproxy Hatasını Gidermek
Rofl0r’ın GitHub gönderisine göre kusur, Tinyproxy’deki src/reqs.c, Remove_connection_headers() isteğinde alınan başlıklar listesinden “bağlantı” ve “proxy bağlantısı” başlıklarını kaldırmaya yönelik kodda bulunuyor.
Etkilenen kod 2002’de yazılmış ve rofl0f’e göre hiçbir zaman güncellenmemiştir ve aşağıdaki olay zincirini tetiklemektedir: “Bağlantı” veya “proxy bağlantısı” değeri, anahtar/değer (KV) deposundan alınır, bir dizi potansiyel sınırlayıcı kullanılarak parçalara bölünür ve her parça KV deposundan çıkarılır.
Bakımcı, “Sorun şu ki, bu parçalardan biri ‘bağlantı’ veya ‘proxy bağlantısı’ (büyük-küçük harfe duyarlı değil) ve değeri almak için daha önce kullanılan anahtarla aynıysa,” diye açıkladı bakımcı. “Bu dosyadan silinecek (serbest bırakılacak) [KV] depoluyor ancak kod daha önce aldığı değer işaretçisine erişmeye devam ediyor.”
Hata “kesinlikle izin veriyor” bir DoS saldırısı Gönderiye göre sunucuda “sertleştirilmiş bellek ayırıcısı UAF’yi otomatik olarak algılayan musl libc 1.2+ kullanıyorsa veya bir adres temizleyiciyle oluşturulmuşsa”. Aynı zamanda “gerçekten de” potansiyel olarak RCE’ye yol açabilir.
CVE-2023-49606’ya Maruz Kalma ve Azaltma
Cisco Talos, bir saldırganın güvenlik açığını tetiklemek için kimliği doğrulanmamış basit bir HTTP isteği yapabileceğini iddia etse de rofl0r, kodun “yalnızca erişim listesi kontrolleri ve kimlik doğrulama başarılı olduktan sonra tetiklendiğini” belirterek bu iddiayı reddetti.
Bu, bir Tinyproxy yöneticisinin temel kimlik doğrulamasını makul derecede güvenli bir parolayla kullanması halinde, tehlikeye karşı korunacağı anlamına gelir. Ek olarak, rofl0r’a göre proxy yalnızca kurumsal bir ortam gibi güvenilir bir özel ağda mevcutsa, harici saldırganlar tarafından kullanılamaz.
Tinyproxy yöneticileri, GitHub’da sağlanan güncellemeyi yüklemenin yanı sıra, Cisco Talos’a göre Tinyproxy hizmetinin, özellikle de bir geliştirme veya test ortamında kullanılıyorsa, genel İnternet’e maruz kalmamasını sağlayarak olası güvenlik ihlallerini önleyebilir.
