4 de mayo de 2024: Más de la mitad de las instancias expuestas de Tinyproxy son potencialmente vulnerables al exploit trivial CVE-2023-49606

Resumen ejecutivo:

En 1 de mayo de 2024Cisco Talos publicó una prueba de concepto (PoC) para CVE-2023-49606, a uso después de libre en las versiones 1.11.1 y 1.10.0 de Tinyproxy, la primera de las cuales es la última versión del software. Una vulnerabilidad "use-after-free" es un error de software que puede activarse si un trozo de memoria se asigna, se desasigna y, posteriormente, se hace referencia a él o se utiliza en otro lugar.

Productos afectados: Tinyproxy es un proxy HTTP/S de código abierto para sistemas operativos tipo UNIX. Es ligero y está diseñado para su uso en redes pequeñas: piense en usuarios individuales y pequeñas empresas que desean una funcionalidad proxy básica. Sin embargo, las empresas que lo utilicen para pruebas o desarrollo deben asegurarse de no exponer el servicio a la Internet pública.

Impacto: Un actor de amenazas no autenticado puede enviar una conexión HTTP simple y especialmente diseñada. Conexión para provocar una corrupción de memoria que puede causar una denegación de servicio (DoS). En las circunstancias adecuadas, esto también podría conducir a la ejecución remota de código. A pesar de su diseño para redes más pequeñas, comprometer un servidor proxy puede tener graves consecuencias, como la violación de datos y la interrupción del servicio.

Disponibilidad de parches: Talos informa que los mantenedores de Tinyproxy no han respondido, por lo que no hay parche disponible.

Estado de explotación: El investigador de seguridad Dimitrios Tatsis de Cisco Talos identificó esta vulnerabilidad. El PoC en el informe original de la vulnerabilidad demuestra la simplicidad del exploit para causar potencialmente un DoS, aunque conseguir un RCE sería más difícil. Actualmente no se conoce ninguna explotación activa.

CensysPerspectiva: A partir del 3 de mayo de 2024Censys observó más de 90.000 hosts exponiendo un servicio Tinyproxy, ~57% de los cuales son potencialmente vulnerables a este exploit

Detección:

Censys Consulta de búsqueda para Tinyproxy expuesto: services.software: (vendor="Tinyproxy Project" and product="Tinyproxy") and not labels=`tarpit`

Censys Los clientes de ASM pueden utilizar el siguiente riesgo para buscar instancias Tinyproxy vulnerables expuestas en su red: risks.name="Tinyproxy vulnerable [CVE-2023-49606]". Los dispositivos pertinentes se asociarán al espacio de trabajo de ASM de su organización en un plazo aproximado de 24 horas.

Fondo

El 1 de mayo de 2024, Cisco Talos publicó un informe de vulnerabilidad sobre CVE-2023-49606una vulnerabilidad de uso después de la liberación que existe en las versiones 1.11.1 y 1.10.0 de Tinyproxy, las más recientes, con una puntuación CVSS crítica de 9,8. La vulnerabilidad se aprovecha a través de la forma en que se analizan las cabeceras de conexión HTTP.

Tinyproxy es un proxy HTTP/S de código abierto adaptado a sistemas operativos tipo UNIX conocido por su diseño ligero. Está pensado para su uso en redes pequeñas sin la necesidad o los recursos para implementar un servidor proxy con todas las funciones.

Como se indica en su documentación:

 "Si compartes una conexión a Internet con una red pequeña y sólo quieres permitir peticiones HTTP, entonces Tinyproxy es una gran herramienta para el administrador de red". 

Probablemente sea el más utilizado por aficionados individuales y usuarios domésticos, pequeñas empresas o proveedores públicos de Wi-Fi que desean una funcionalidad proxy básica.

El descubrimiento de esta vulnerabilidad se atribuye al investigador de seguridad Dimitrios Tatsis, de Cisco Talos. El sitio PoC muestra cómo un fallo trivial en el manejo de la cabecera de conexión HTTP puede ser explotado para causar una caída del sistema y potencialmente un DoS, pero lograr un RCE más allá de esto requeriría circunstancias muy específicas. No se conoce ninguna explotación activa en este momento.

Por desgracia, la vulnerabilidad sigue sin parchear. En el momento de escribir estas líneas, los commits más recientes del proyecto tinyproxy en GitHub eran de hace 2 días y 6 meses, respectivamente, lo que indica que puede que no se mantenga de forma muy activa.

Consecuencias potenciales de una explotación exitosa: Mediante el envío de un encabezado HTTP especialmente diseñado, una amenaza podría provocar un fallo debido a la corrupción de memoria en el servidor proxy. Dado que Tinyproxy está diseñado principalmente para su uso en redes más pequeñas, los riesgos potenciales asociados a esta vulnerabilidad son algo menores que si se tratara de un servidor proxy más completo. Sin embargo, incluso en redes más pequeñas, la interrupción de un servidor proxy podría provocar la pérdida de datos y otras interrupciones del servicio. También hay que tener en cuenta que las redes más pequeñas suelen disponer de recursos limitados para implantar medidas de seguridad más robustas.

CensysPerspectiva

A partir del viernes, 3 de mayo de 2024, Censys observó 90,310 hosts que exponen un servicio Tinyproxy a la Internet pública. De ellos, muchos se concentran en Estados Unidos y Corea del Sur.

Mapa de Censys-Hosts visibles que exponen Tinyproxy en la Internet pública a partir del 3 de mayo de 2024

Top 5 de países con hosts que exponen Tinyproxy

De ellos, casi 52,000o aproximadamente el 57%de todos los hosts expuestos parecen ser potencialmente vulnerables a estos fallos, ejecutando las versiones 1.11.1 o 1.10.0.

Las 5 principales versiones de software Tinyproxy expuestas observadas 

La red con mayor concentración de servidores Tinyproxy es AMAZON-02o AWS, lo que tiene sentido dado que es probable que este software sea utilizado por usuarios individuales más pequeños.

Recomendaciones para remediar la situación

Se recomienda asegurarse de no exponer un servicio Tinyproxy a la Internet pública, en particular si se utiliza en un entorno de desarrollo o de pruebas.

Referencias:

• https://talosintelligence.com/vulnerability_reports/TALOS-2023-1889
• https://nvd.nist.gov/vuln/detail/CVE-2023-49606