信息化觀察網(wǎng)

本文來自微信公眾號“嘶吼專業(yè)版”，作者/胡金魚。

最近披露的一個關鍵遠程代碼執(zhí)行(RCE)缺陷顯示，近52000個暴露在互聯(lián)網(wǎng)上的Tinyproxy實例容易受到CVE-2023-49606的影響。

Tinyproxy是一個開源HTTP和HTTPS代理服務器，旨在快速、小型和輕量級。它專為類UNIX操作系統(tǒng)量身定制，通常由小型企業(yè)、公共WiFi提供商和家庭用戶使用。

本月初，Cisco Talos披露了CVE-2023-49606，這是研究人員于2023年12月發(fā)現(xiàn)的一個關鍵(CVSS v3:9.8)釋放后使用缺陷，影響版本1.11.1（最新）和1.10.0。

Cisco的報告分享了有關該漏洞的詳細信息，包括導致服務器崩潰并可能導致遠程代碼執(zhí)行的概念驗證漏洞。

Talos研究人員在報告中解釋說，該缺陷發(fā)生在“remove_connection_headers()”函數(shù)中，其中特定的HTTP標頭（連接和代理連接）未得到正確管理，導致內(nèi)存被釋放，然后再次錯誤地訪問。可以通過簡單的格式錯誤的HTTP請求（例如，連接：連接）輕松利用此漏洞，而無需進行身份驗證。

Censys發(fā)現(xiàn)有90000個在線暴露于互聯(lián)網(wǎng)的Tinyproxy服務，其中約57%容易受到CVE-2023-49606的攻擊。具體來說，Censys發(fā)現(xiàn)有18372個實例運行易受攻擊的版本1.11.1，另外1390個實例運行在1.10.0版本上。這些實例大多數(shù)位于美國(11946)，其次是韓國(3732)。

Cisco披露該漏洞五天后，Tinyproxy發(fā)布了CVE-2023-49606的修復程序，該修復程序根據(jù)需要調(diào)整內(nèi)存管理以防止被利用。

然而，Tinyproxy對Cisco正確披露該錯誤的說法提出異議，稱他們從未通過該項目要求的披露渠道收到報告。

包含安全修復程序的提交(12a8484)位于版本1.11.2中，但有緊急需要的人可以從master分支中提取更改或手動應用突出顯示的修復程序。

Tinyproxy說道：“如果tinyproxy使用musl libc 1.2+（其強化內(nèi)存分配器會自動檢測UAF），或者使用地址清理程序構建，那么它會允許對服務器進行DOS攻擊。”

開發(fā)人員還指出，更新的代碼僅在通過身份驗證和訪問列表檢查后才會觸發(fā)，這意味著該漏洞可能不會影響所有設置，特別是在企業(yè)網(wǎng)絡等受控環(huán)境中或使用帶有安全密碼的基本身份驗證的設置。