Ciberseguridad 360 | Falla crítica de Tinyproxy deja miles de hosts expuestos a ejecución remota de código

Se ha descubierto que m�s del 50% de los 90.310 hosts exponen un servicio Tinyproxy en Internet que es vulnerable a un fallo de seguridad cr�tico no parcheado en la herramienta proxy HTTP/HTTPS.

El problema, identificado como CVE-2023-49606, tiene una puntuaci�n CVSS de 9,8 sobre un m�ximo de 10, seg�n Cisco Talos, que lo describe como un fallo de uso despu�s de la liberaci�n que afecta a las versiones 1.10.0 y 1.11.1, la �ltima de las cuales es la m�s reciente.

�Un encabezado HTTP especialmente dise�ado puede provocar la reutilizaci�n de la memoria liberada previamente, lo que lleva a la corrupci�n de memoria y podr�a conducir a la ejecuci�n remota de c�digo�, dijo Talos en un aviso la semana pasada. �Un atacante necesita hacer una petici�n HTTP no autenticada para desencadenar esta vulnerabilidad�.

En otras palabras, una amenaza no autenticada podr�a enviar un encabezado de conexi�n HTTP especialmente dise�ado para provocar la corrupci�n de memoria que puede resultar en la ejecuci�n remota de c�digo.

Seg�n los datos compartidos por la empresa de gesti�n de superficies de ataque Censys, de los 90.310 hosts que exponen un servicio Tinyproxy a la Internet p�blica a fecha de 3 de mayo de 2024, 52.000 (~57%) de ellos ejecutan una versi�n vulnerable de Tinyproxy.

La mayor�a de los hosts de acceso p�blico se encuentran en Estados Unidos (32.846), Corea del Sur (18.358), China (7.808), Francia (5.208) y Alemania (3.680).

Talos, que inform� del problema el 22 de diciembre de 2023, tambi�n ha publicado una prueba de concepto (PoC) del fallo, en la que se describe c�mo el problema con el an�lisis sint�ctico de las conexiones de conexi�n HTTP podr�a utilizarse como arma para provocar un bloqueo y, en algunos casos, la ejecuci�n de c�digo.

Los mantenedores de Tinyproxy, en un conjunto de commits realizados durante el fin de semana, llamaron a Talos por enviar el informe a una probable �direcci�n de correo electr�nico obsoleta�, a�adiendo que fueron informados por un mantenedor del paquete Debian Tinyproxy el 5 de mayo de 2024.

�No se present� ninguna incidencia en GitHub, y nadie mencion� una vulnerabilidad en el mencionado chat de IRC�, dijo rofl0r en un commit. �Si se hubiera informado del problema en Github o IRC, el fallo se habr�a solucionado en un d�a�.

Se recomienda a los usuarios que actualicen a la �ltima versi�n cuando est� disponible. Tambi�n se recomienda que el servicio Tinyproxy no est� expuesto a la Internet p�blica.

Fuente: thehackernews