Zusammenfassung:
Auf 1. Mai 2024veröffentlichte Cisco Talos einen Proof of Concept (PoC) für CVE-2023-49606, a use-after-free Schwachstelle in den Tinyproxy-Versionen 1.11.1 und 1.10.0, wobei es sich bei ersterer um die neueste Softwareversion handelt. Eine Use-after-free-Schwachstelle ist ein Softwarefehler, der ausgelöst werden kann, wenn ein Speicherbereich zugewiesen und wieder freigegeben wird und anschließend an anderer Stelle referenziert oder verwendet wird.
Betroffene Produkte: Tinyproxy ist ein Open-Source-HTTP/S-Proxy für UNIX-ähnliche Betriebssysteme. Er ist leichtgewichtig und für den Einsatz in kleinen Netzwerken konzipiert: Denken Sie an Einzelanwender und kleine Unternehmen, die grundlegende Proxy-Funktionen benötigen. Unternehmen, die ihn zu Test- oder Entwicklungszwecken einsetzen, sollten jedoch sicherstellen, dass sie den Dienst nicht für das öffentliche Internet freigeben.
Aufschlag: Ein nicht authentifizierter Bedrohungsakteur kann eine einfache, speziell gestaltete HTTP Verbindung Header senden, um eine Speicherbeschädigung auszulösen, die einen Denial-of-Service (DoS) verursachen kann. Unter den richtigen Umständen könnte dies auch zu einer Remotecodeausführung führen. Obwohl ein Proxyserver für kleinere Netzwerke konzipiert ist, kann die Kompromittierung eines Proxyservers schwerwiegende Folgen haben, wie z. B. die Verletzung von Daten und die Unterbrechung von Diensten.
Patch-Verfügbarkeit: Talos berichtet, dass die Betreuer von Tinyproxy nicht geantwortet haben, so dass kein Patch verfügbar ist.
Ausbeutung Status: Der Sicherheitsforscher Dimitrios Tatsis von Cisco Talos hat diese Schwachstelle identifiziert. Der PoC im ursprünglichen Bericht über die Sicherheitslücke demonstriert die Einfachheit des Exploits, um möglicherweise einen DoS zu verursachen, obwohl das Erreichen eines RCE eine größere Herausforderung darstellen würde. Derzeit ist keine aktive Ausnutzung bekannt.
Censys's Perspektive: Ab dem 3. Mai 2024beobachtete Censys über 90.000 Hosts die einen Tinyproxy-Dienst anbieten, ~57% davon sind potentiell anfällig für diesen Exploit
Erkennung:
Censys Search Abfrage für exponierten Tinyproxy: services.software: (vendor="Tinyproxy Project" und product="Tinyproxy") und nicht labels=`tarpit`
Censys ASM-Kunden können das folgende Risiko verwenden, um nach anfälligen Tinyproxy-Instanzen in ihrem Netzwerk zu suchen: risks.name="Anfälliger Tinyproxy [CVE-2023-49606]". Betroffene Geräte werden innerhalb von etwa 24 Stunden mit dem ASM-Arbeitsbereich Ihres Unternehmens verknüpft.
Hintergrund
Am 1. Mai 2024 veröffentlichte Cisco Talos einen Bericht über die Sicherheitslücke CVE-2023-49606veröffentlicht, eine Use-after-free-Schwachstelle in den Tinyproxy-Versionen 1.11.1 und 1.10.0, den jüngsten Versionen, mit einem kritischen CVSS-Score von 9.8. Die Schwachstelle wird durch die Art und Weise ausgenutzt, wie HTTP Connection Headers geparst werden.
Tinyproxy ist ein quelloffener HTTP/S-Proxy, der auf UNIX-ähnliche Betriebssysteme zugeschnitten und für sein schlankes Design bekannt ist. Er ist für den Einsatz in kleinen Netzwerken gedacht, die nicht die Notwendigkeit oder die Ressourcen haben, einen vollwertigen Proxy-Server zu implementieren.
Wie in ihrer Dokumentation angegeben:
"Wenn Sie eine Internetverbindung mit einem kleinen Netzwerk teilen und nur HTTP-Anfragen zulassen wollen, dann ist Tinyproxy ein großartiges Werkzeug für den Netzwerkadministrator."
Es wird wahrscheinlich am häufigsten von einzelnen Hobbyisten und Heimanwendern, kleinen Unternehmen oder öffentlichen Wi-Fi-Anbietern verwendet, die grundlegende Proxy-Funktionen benötigen.
Die Entdeckung dieser Sicherheitslücke wird dem Sicherheitsforscher Dimitrios Tatsis von Cisco Talos zugeschrieben. Der PoC zeigt, wie ein trivialer Fehler in der HTTP Connection Header-Behandlung ausgenutzt werden kann, um einen Systemabsturz und möglicherweise einen DoS zu verursachen, aber um einen darüber hinausgehenden RCE zu erreichen, müssten sehr spezielle Umstände gegeben sein. Zurzeit ist keine aktive Ausnutzung bekannt.
Leider ist die Schwachstelle noch nicht behoben. Zum Zeitpunkt der Erstellung dieses Artikels sind die letzten Übertragungen an das tinyproxy-GitHub-Projekt vor 2 Tagen bzw. vor 6 Monaten, was darauf hindeutet, dass es möglicherweise nicht sehr aktiv gepflegt wird.
Mögliche Folgen eines erfolgreichen Angriffs: Durch das Senden eines speziell gestalteten HTTP-Headers könnte ein Bedrohungsakteur einen Absturz aufgrund einer Speicherbeschädigung auf dem Proxyserver auslösen. Da Tinyproxy in erster Linie für den Einsatz in kleineren Netzwerken konzipiert ist, sind die potenziellen Risiken im Zusammenhang mit dieser Schwachstelle etwas geringer, als wenn es sich um einen Proxy-Server mit mehr Funktionen handeln würde. Aber auch in kleineren Netzwerken kann die Störung eines Proxyservers zu Datenverlusten und anderen Dienstunterbrechungen führen. Außerdem haben kleinere Netze oft nur begrenzte Ressourcen, um robustere Sicherheitsmaßnahmen zu implementieren.
CensysDie Perspektive
Ab Freitag, 3. Mai 2024Censys beobachtet 90,310 Hosts, die einen Tinyproxy-Dienst für das öffentliche Internet bereitstellen. Davon befinden sich viele in den Vereinigten Staaten und Südkorea.
Karte der Censys-sichtbaren Hosts, die Tinyproxy im öffentlichen Internet exponieren, ab dem 3. Mai 2024
Land |
Host-Zahl |
Prozentsatz |
Vereinigte Staaten |
32846 |
36.37% |
Südkorea |
18358 |
20.33% |
China |
7808 |
8.65% |
Frankreich |
5208 |
5.77% |
Deutschland |
3680 |
4.07% |
Top 5 Länder mit Hosts, die Tinyproxy aussetzen
Davon sind fast 52,000oder ungefähr 57%aller gefährdeten Hosts, die mit den Versionen 1.11.1 oder 1.10.0 arbeiten, scheinen potenziell anfällig für diese Fehler zu sein.
Version |
Host-Zahl |
Prozentsatz |
1.11.1 |
40746 |
45.09% |
1.8.4 |
11645 |
12.89% |
1.10.0 |
11207 |
12.40% |
1.8.3 |
11036 |
12.21% |
1.8.2 |
7753 |
8.58% |
Die 5 wichtigsten Versionen der beobachteten Tinyproxy-Software
Das Netz mit der größten Konzentration von Tinyproxy-Servern ist AMAZON-02oder AWS, was insofern Sinn macht, als diese Software wahrscheinlich von kleineren, einzelnen Nutzern verwendet wird.
Empfehlungen für Abhilfemaßnahmen
Es wird empfohlen, sicherzustellen, dass Sie einen Tinyproxy-Dienst nicht dem öffentlichen Internet aussetzen, insbesondere wenn er in einer Entwicklungs- oder Testumgebung verwendet wird.
Referenzen: