Tinyproxy 漏洞影響全世界約 50,000 台電腦

來源
台灣電腦網路危機處理暨協調中心

內容
Tinyproxy存在use-after-free安全漏洞(CVE-2023-49606),可透過傳送特製的 HTTP 標頭導致遠端程式碼執行(RCE),最近已釋出安全性更新。Tinyproxy 是一個輕量級的代理,可用於 HTTP 和 HTTPS 代理,其優點包括簡單、快速和佔用空間小,非常適合在小型網路環境中使用,全球約有 90,000 台主機安裝了 Tinyproxy 服務,其中仍有超過 50% 尚未修補此嚴重安全性漏洞。
 
Cisco Talos研究團隊表示,該漏洞位於程式的 remove_connection_headers() 函數中,未正確處理 http header 參數,造成記憶體被釋放後,仍能被錯誤的存取。換言之,攻擊者可透過發送含有特製 http 標頭的 http request,重新利用已釋放的記憶體,進而導致遠端程式碼執行。此漏洞由 Cisco Talos 編號為 CVE-2023-49606,CVSS 評分為 9.8 分,影響版本為 1.10.0 和 1.11.1。
 
資安業者 Censys 指出,統計到2024年5月3日 為止,約52,000台主機執行存在漏洞的Tinyproxy,這些受漏洞影響的主機分散在不同國家,包含美國約32,846台、韓國約18,358台、中國約7,808台、法國約5,208 台、德國約3,680台。
 
Cisco Talos於2023年12月22日已報告該漏洞,並發布概念驗證程式(Proof-of-Concept, PoC),他們亦表示曾提醒 Tinyproxy 的軟體維運者此安全性問題,但一直未收到回覆,也未見到任何修補程式釋出,因此2024 年 5 月 1 日公開此漏洞,5 天後,Debian Tinyproxy 的軟體維運者注意到此公告訊息,並通知 Tinyproxy 軟體維運者該問題。Tinyproxy 軟體維運者則指責 Cisco Talos 將報告發送到一個他們不再使用的電子郵件地址,並認為 Cisco Talos 只是隨意從 git log 資訊中找尋電子郵件地址,進行漏洞通報。。
 
Tinyproxy 軟體維運者已將修補程式發布在其Github上,建議使用 Tinyproxy 的用戶,儘快將軟體更新至 1.11.2 版本,並不要將此服務暴露於網際網路上。