Tinyproxy ha sido identificado con una vulnerabilidad de use-after-free (CVE-2023-49606) que permite la ejecución remota de código (RCE) a través del envío de encabezados HTTP personalizados. Recientemente se ha lanzado una actualización de seguridad para abordar este problema. Tinyproxy es un proxy ligero que se utiliza para HTTP y HTTPS, y sus ventajas incluyen su simplicidad, velocidad y ocupación de espacio reducida. Es muy adecuado para su uso en entornos de red pequeños y se estima que más de 90,000 hosts en todo el mundo tienen instalado el servicio de Tinyproxy. Sin embargo, todavía hay más del 50% de estos hosts que no han parcheado esta grave vulnerabilidad de seguridad.
El equipo de investigación de Cisco Talos informó que la vulnerabilidad se encuentra en la función remove_connection_headers() del programa, que no maneja correctamente los parámetros de encabezado HTTP. Esto resulta en la liberación de memoria que aún puede ser accedida de manera incorrecta. En otras palabras, un atacante puede aprovechar esto enviando una solicitud HTTP con encabezados personalizados para reutilizar la memoria liberada y así lograr la ejecución de código remoto. Esta vulnerabilidad, identificada por Cisco Talos como CVE-2023-49606, tiene una puntuación de CVSS de 9.8 y afecta a las versiones 1.10.0 y 1.11.1.
La empresa de seguridad Censys señaló que hasta el 3 de mayo de 2024, se han identificado alrededor de 52,000 hosts que están ejecutando una versión vulnerable de Tinyproxy. Estas máquinas se encuentran en diferentes países, incluyendo 32,846 en Estados Unidos, 18,358 en Corea del Sur, 7,808 en China, 5,208 en Francia y 3,680 en Alemania.
Cisco Talos informó sobre esta vulnerabilidad el 22 de diciembre de 2023 y publicó una prueba de concepto (PoC). También señalaron que habían notificado a los desarrolladores de Tinyproxy sobre este problema, pero no recibieron respuesta ni vieron ninguna actualización para solucionarlo. Por lo tanto, el 1 de mayo de 2024, se hizo pública esta vulnerabilidad. Cinco días después, los mantenedores de software de Tinyproxy en Debian se dieron cuenta de este anuncio y notificaron a los desarrolladores de Tinyproxy sobre el problema. Sin embargo, los desarrolladores de Tinyproxy acusaron a Cisco Talos de haber enviado el informe a una dirección de correo electrónico que ya no utilizan, y creen que Cisco Talos simplemente buscó al azar una dirección de correo electrónico en los registros de git para notificarles sobre la vulnerabilidad.
Los desarrolladores de Tinyproxy han publicado una actualización de software en su repositorio de Github y recomiendan a los usuarios de Tinyproxy que actualicen su software a la versión 1.11.2 lo antes posible. También se recomienda no exponer este servicio a Internet para evitar posibles ataques.
En resumen, es importante que los usuarios de Tinyproxy tomen medidas inmediatas para proteger sus sistemas contra esta grave vulnerabilidad de seguridad. Al mantener el software actualizado y restringir su exposición a la red, se pueden evitar posibles ataques y proteger la integridad de los sistemas.