Tinyproxy: как «поломанный» канал связи стал причиной уязвимости 50 000 серверов

Более 50% из 90 310 серверов, использующих прокси-инструмент Tinyproxy, уязвимы из-за критической ошибки, получившей обозначение CVE-2023-49606 и оценку в 9,8 из 10 возможных баллов по шкале CVSS. Ошибка классифицируется как уязвимость типа «Use-After-Free» в версиях Tinyproxy 1.10.0 и 1.11.1.

Согласно отчёту специалистов Cisco Talos, отправка специально сформированного HTTP-заголовка может привести к повторному использованию уже освобождённой памяти, вызывая её повреждение, что, в свою очередь, может привести к выполнению удалённого кода.

По данным компании Censys, около 57% или 52 000 из 90 310 серверов с открытым доступом к Tinyproxy по состоянию на 3 мая 2024 года работали на уязвимой версии инструмента. Большинство таких серверов расположено в США (32 846), Южной Корее (18 358), Китае (7 808), Франции (5 208) и Германии (3 680).

Cisco Talos сообщила разработчикам Tinyproxy об уязвимости 22 декабря 2023 года и тогда же предоставила PoC-эксплойт, демонстрирующий как эта проблема может быть использована для вызова сбоев и, в некоторых случаях, выполнения произвольного кода.

Тем не менее, один из ведущих разработчиков Tinyproxy под ником «rofl0r» заявил, что сообщение о проблеме было направлено специалистами Talos на неактуальный электронный адрес. В связи с этим команде разработки стало известно о проблеме лишь вчера, пятого мая, после того, как о ней сообщил один из разработчиков, сопровождающий версию пакета Tinyproxy для Debian.

Иными словами, проблема оставалась нерешённой, а серверы были уязвимы для атак практически полгода. Более того, rofl0r заявил, что если бы проблема была зарегистрирована через GitHub или IRC, то она была бы решена в течение суток.

Подобная ситуация создала необычный прецедент, который, возможно, заставит специалистов Talos задуматься о некоторой неэффективности выбранных ими методов коммуникации с разработчиками программного обеспечения.

Тем временем, разработчики Tinyproxy советуют пользователям обновить версию инструмента, как только появится возможность, а также рекомендуют не оставлять сервис открытым для общего доступа в Интернете.

В начале апреля мы рассказывали о похожей ситуации, произошедшей с крупными производителями компьютерного оборудования Intel и Lenovo. Как оказалось, их программное обеспечение таило в себе уязвимость, исправленную больше шести лет назад. Это случилось из-за того, что недостатку не был присвоен CVE-идентификатор, в связи с чем исправление не было задействовано в продуктах сторонних поставщиков.

Правильное, полное и своевременное информирование об уязвимостях имеет важнейшее значение для обеспечения кибербезопасности и защиты пользователей от потенциальных угроз.

Инцидент с уязвимостью в Tinyproxy показывает необходимость совершенствования процессов обмена информацией между исследователями кибербезопасности и разработчиками программного обеспечения, чтобы избежать подобных ситуаций в будущем.