50000多个小型代理服务器容易受到关键的RCE缺陷的影响

最近披露的一个关键远程代码执行 (RCE) 缺陷显示，近 52000 个暴露在互联网上的 Tinyproxy 实例容易受到 CVE-2023-49606 的影响。

Tinyproxy 是一个开源 HTTP 和 HTTPS 代理服务器，旨在快速、小型和轻量级。它专为类 UNIX 操作系统量身定制，通常由小型企业、公共 WiFi 提供商和家庭用户使用。

本月初，Cisco Talos 披露了 CVE-2023-49606，这是研究人员于 2023 年 12 月发现的一个关键 (CVSS v3: 9.8) 释放后使用缺陷，影响版本 1.11.1（最新）和 1.10.0。

Cisco的报告分享了有关该漏洞的详细信息，包括导致服务器崩溃并可能导致远程代码执行的概念验证漏洞。

Talos 研究人员在报告中解释说，该缺陷发生在“remove_connection_headers()”函数中，其中特定的 HTTP 标头（连接和代理连接）未得到正确管理，导致内存被释放，然后再次错误地访问。可以通过简单的格式错误的 HTTP 请求（例如，连接：连接）轻松利用此漏洞，而无需进行身份验证。

Censys 发现有 90000 个在线暴露于互联网的 Tinyproxy 服务，其中约 57% 容易受到 CVE-2023-49606 的攻击。具体来说，Censys 发现有 18372 个实例运行易受攻击的版本 1.11.1，另外 1390 个实例运行在 1.10.0 版本上。这些实例大多数位于美国 (11946)，其次是韩国 (3732)。

Cisco披露该漏洞五天后，Tinyproxy 发布了 CVE-2023-49606 的修复程序，该修复程序根据需要调整内存管理以防止被利用。

然而，Tinyproxy 对Cisco正确披露该错误的说法提出异议，称他们从未通过该项目要求的披露渠道收到报告。

包含安全修复程序的提交 (12a8484) 位于版本 1.11.2 中，但有紧急需要的人可以从 master 分支中提取更改或手动应用突出显示的修复程序。

Tinyproxy 安全研究人员说道：“如果 tinyproxy 使用 musl libc 1.2+（其强化内存分配器会自动检测 UAF），或者使用地址清理程序构建，那么它会允许对服务器进行 DOS 攻击。”

开发人员还指出，更新的代码仅在通过身份验证和访问列表检查后才会触发，这意味着该漏洞可能不会影响所有设置，特别是在企业网络等受控环境中或使用带有安全密码的基本身份验证的设置。