Près de 52 000 instances Tinyproxy exposées à Internet sont vulnérables à CVE-2023-49606, une faille critique d’exécution de code à distance (RCE) récemment divulguée.

Tinyproxy est un serveur proxy HTTP et HTTPS open source conçu pour être rapide, petit et léger. Il est spécialement conçu pour les systèmes d’exploitation de type UNIX et est couramment utilisé par les petites entreprises, les fournisseurs de WiFi publics et les utilisateurs à domicile.

Au début du mois, Cisco Talos a divulgué CVE-2023-49606, une faille critique (CVSS v3: 9.8) d’utilisation après libération que les chercheurs ont découverte en décembre 2023, affectant les versions 1.11.1 (dernière) et 1.10.0, après avoir affirmé ne pas avoir reçu de réponse des développeurs.

Le rapport de Cisco a partagé des informations détaillées sur la vulnérabilité, y compris des exploits de validation de principe qui ont planté le serveur et pourraient potentiellement conduire à l’exécution de code à distance.

Les chercheurs de Talos ont expliqué dans le rapport que la faille se produit dans la fonction ‘ remove_connection_headers ()’, où des en-têtes HTTP spécifiques (Connection et Proxy-Connection) ne sont pas correctement gérés, ce qui entraîne la libération de la mémoire puis un accès incorrect à nouveau.

Cela peut être facilement exploité avec une simple requête HTTP mal formée (par exemple, Connexion: Connexion) sans nécessiter d’authentification.

Cisco avait averti à l’époque que malgré ses efforts pour alerter les développeurs de Tinyproxy de la faille critique, il n’avait reçu aucune réponse et qu’aucun correctif n’était disponible au téléchargement pour les utilisateurs.

Samedi, Censys a rapporté avoir vu 90 000 services Tinyproxy exposés à Internet en ligne, dont environ 57% étaient vulnérables à CVE-2023-49606.

Plus précisément, Censys a trouvé 18 372 instances exécutant la version vulnérable 1.11.1 et 1 390 autres exécutant la version 1.10.0.

La plupart de ces instances sont situées aux États-Unis (11 946), suivies de la Corée du Sud (3 732), de la Chine (675), de la France (300) et de l’Allemagne (150).

Localisation des hôtes vulnérables

Défaut corrigé
Dimanche, cinq jours après la divulgation du bogue par Cisco, les responsables de Tinyproxy ont publié un correctif pour CVE-2023-49606, qui ajuste la gestion de la mémoire selon les besoins pour empêcher l’exploitation.

Cependant, le mainteneur de Tinyproxy a contesté que Cisco ait correctement divulgué le bogue, déclarant qu’il n’avait jamais reçu le rapport via les canaux de divulgation demandés par le projet.

« Un chercheur en sécurité de TALOS intelligence a découvert une vulnérabilité d’utilisation après libération dans tinyproxy en décembre 2023, affirmant avoir contacté en amont et attendu 6 mois pour la publication », ont noté les développeurs sur GitHub

« Quoi qu’il ait fait pour contacter en amont, ce n’était pas efficace et pas ce qui était décrit ni sur la page d’accueil de tinyproxy ni dans README.md. »

« Il n’a certainement pas fait d’efforts pour trouver un contact réactif, et a probablement extrait une adresse e-mail aléatoire du journal git et y a envoyé un courrier. La vulnérabilité a été rendue publique le 01 mai 2024, et il a fallu 5 jours complets avant que je sois averti sur IRC par un mainteneur de package de distribution. »

Le commit (12a8484) contenant le correctif de sécurité est dans la prochaine version 1.11.2, mais les personnes ayant un besoin urgent peuvent extraire le changement de la branche master ou appliquer manuellement le correctif en surbrillance.

« C’est un bug assez méchant, et pourrait potentiellement conduire à RCE – même si je n’ai pas encore vu d’exploit fonctionnel », ont poursuivi les responsables de Tinyproxy.

« Ce que cela permet certainement, c’est une attaque DOS sur le serveur si tinyproxy utilise soit la libc musl 1.2+ – dont l’allocateur de mémoire renforcé détecte automatiquement l’UAF, soit construit avec un désinfectant d’adresse. »

Les développeurs ont également noté que le code mis à jour ne se déclenche qu’après avoir réussi les vérifications d’authentification et de liste d’accès, ce qui signifie que la vulnérabilité pourrait ne pas affecter toutes les configurations, en particulier celles dans des environnements contrôlés comme les réseaux d’entreprise ou celles utilisant une authentification de base avec des mots de passe sécurisés.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *