Résumé :
Le 1er mai 2024Cisco Talos a publié une preuve de concept (PoC) pour CVE-2023-49606, a use-after-free dans les versions 1.11.1 et 1.10.0 de Tinyproxy, la première étant la dernière version du logiciel. Une vulnérabilité de type "use-after-free" est un bogue logiciel qui peut être déclenché si une partie de la mémoire est allouée, désallouée, puis référencée ou utilisée ailleurs.
Produits concernés: Tinyproxy est un proxy HTTP/S open-source pour les systèmes d'exploitation de type UNIX. Il est léger et conçu pour être utilisé dans de petits réseaux : pensez aux utilisateurs individuels et aux petites entreprises qui veulent une fonctionnalité proxy de base. Cependant, les entreprises qui l'utilisent à des fins de test ou de développement doivent s'assurer qu'elles n'exposent pas le service à l'internet public.
Impact: Un acteur non authentifié peut envoyer une simple connexion HTTP spécialement conçue. Connexion spécialement conçu pour déclencher une corruption de la mémoire qui peut provoquer un déni de service (DoS). Dans les bonnes circonstances, cela peut également conduire à l'exécution de code à distance. Bien qu'il soit conçu pour les réseaux de petite taille, la compromission d'un serveur proxy peut avoir de graves conséquences, telles que des violations de données et des interruptions de service.
Disponibilité des correctifs: Talos rapporte que les responsables de Tinyproxy n'ont pas répondu, et qu'aucun correctif n'est donc disponible.
Statut d'exploitation: Le chercheur en sécurité Dimitrios Tatsis de Cisco Talos a identifié cette vulnérabilité. Le PoC dans le rapport original sur la vulnérabilité démontre la simplicité de l'exploit pour potentiellement causer un DoS, bien que la réalisation d'un RCE soit plus difficile. Aucune exploitation active n'est actuellement connue.
CensysLe point de vue de la Commission: A partir du 3 mai 2024Censys a observé plus de 90 000 hôtes exposant un service Tinyproxy, ~57% sont potentiellement vulnérables à cet exploit
Détection:
Censys Requête de recherche pour Tinyproxy exposé : services.software : (vendor="Tinyproxy Project" and product="Tinyproxy") and not labels=`tarpit` (vendeur="Tinyproxy Project" et produit="Tinyproxy")
Censys Les clients d'ASM peuvent utiliser le risque suivant pour rechercher les instances de Tinyproxy vulnérables exposées dans leur réseau : risks.name="Tinyproxy vulnérable [CVE-2023-49606]". Les appareils concernés seront associés à l'espace de travail ASM de votre organisation dans un délai d'environ 24 heures.
Contexte
Le 1er mai 2024, Cisco Talos a publié un rapport de vulnérabilité sur CVE-2023-49606une vulnérabilité de type "use-after-free" qui existe dans les versions 1.11.1 et 1.10.0 de Tinyproxy, les versions les plus récentes, avec un score CVSS critique de 9.8. La vulnérabilité est exploitée par la façon dont les en-têtes de connexion HTTP sont analysés.
Tinyproxy est un proxy HTTP/S open-source conçu pour les systèmes d'exploitation de type UNIX et réputé pour sa légèreté. Il est destiné aux petits réseaux qui n'ont ni le besoin ni les ressources nécessaires pour implémenter un serveur proxy complet.
Comme indiqué dans leur documentation :
"Si vous partagez une connexion Internet avec un petit réseau et que vous ne souhaitez autoriser que les requêtes HTTP, Tinyproxy est un excellent outil pour l'administrateur du réseau".
Il est probablement plus couramment utilisé par les amateurs et les particuliers, les petites entreprises ou les fournisseurs de Wi-Fi public qui souhaitent disposer d'une fonctionnalité proxy de base.
La découverte de cette vulnérabilité est attribuée au chercheur en sécurité Dimitrios Tatsis de Cisco Talos. Le PoC montre comment un bogue trivial dans le traitement de l'en-tête de connexion HTTP peut être exploité pour provoquer une panne du système et potentiellement un déni de service, mais la réalisation d'un RCE au-delà de cela nécessiterait la mise en place de circonstances très spécifiques. Il n'y a pas d'exploitation active connue à ce jour.
Malheureusement, cette vulnérabilité n'a toujours pas été corrigée. À l'heure où nous écrivons ces lignes, les dernières modifications sur le projet GitHub tinyproxy datent respectivement de 2 jours et de 6 mois, ce qui indique qu'il n'est peut-être pas maintenu de manière très active.
Conséquences potentielles d'une exploitation réussie : En envoyant un en-tête HTTP spécialement conçu, un acteur de la menace pourrait déclencher un crash dû à une corruption de la mémoire sur le serveur proxy. Étant donné que Tinyproxy est principalement conçu pour être utilisé sur de petits réseaux, les risques potentiels associés à cette vulnérabilité sont quelque peu réduits par rapport à un serveur proxy plus complet. Cependant, même au sein de petits réseaux, la perturbation d'un serveur proxy peut entraîner la perte de données et d'autres interruptions de service. Il convient également de noter que les petits réseaux disposent souvent de ressources limitées pour mettre en œuvre des mesures de sécurité plus robustes.
CensysLe point de vue de la Commission
A partir du vendredi 3 mai 2024Censys a observé 90,310 exposant un service Tinyproxy à l'internet public. Parmi ceux-ci, beaucoup sont concentrés aux États-Unis et en Corée du Sud.
Carte de Censys- Hôtes visibles exposant Tinyproxy sur l'Internet public à partir du 3 mai 2024
| Pays |
Nombre d'hôtes |
Pourcentage |
| États-Unis |
32846 |
36.37% |
| Corée du Sud |
18358 |
20.33% |
| Chine |
7808 |
8.65% |
| France |
5208 |
5.77% |
| Allemagne |
3680 |
4.07% |
Top 5 des pays dont les hôtes exposent Tinyproxy
Parmi eux, près de 52,000soit environ 57%de tous les hôtes exposés semblent être potentiellement vulnérables à ces bogues, utilisant les versions 1.11.1 ou 1.10.0.
| Version |
Nombre d'hôtes |
Pourcentage |
| 1.11.1 |
40746 |
45.09% |
| 1.8.4 |
11645 |
12.89% |
| 1.10.0 |
11207 |
12.40% |
| 1.8.3 |
11036 |
12.21% |
| 1.8.2 |
7753 |
8.58% |
Les 5 principales versions du logiciel Tinyproxy exposées observées
Le réseau avec la plus grande concentration de serveurs Tinyproxy est le suivant AMAZON-02ou AWS, ce qui est logique étant donné que ce logiciel est probablement utilisé par de petits utilisateurs individuels.
Recommandations pour la remédiation
Il est recommandé de s'assurer que vous n'exposez pas un service Tinyproxy à l'internet public, en particulier s'il est utilisé dans un environnement de développement ou de test.
Références :
