Информация

Tinyproxy: как «поломанный» канал связи стал причиной уязвимости 50 000 серверов

Быстрая покупка VPN для России через удобный Телеграмм-бот:

Коротко о том, к чему может привести неэффективная коммуникация между исследователями и разработчиками.

Более 50% из 90 310 серверов, использующих прокси-инструмент Tinyproxy, уязвимы из-за критической ошибки, получившей обозначение CVE-2023-49606 и оценку в 9,8 из 10 возможных баллов по шкале CVSS. Ошибка классифицируется как уязвимость типа «Use-After-Free» в версиях Tinyproxy 1.10.0 и 1.11.1.

Согласно отчёту специалистов Cisco Talos, отправка специально сформированного HTTP-заголовка может привести к повторному использованию уже освобождённой памяти, вызывая её повреждение, что, в свою очередь, может привести к выполнению удалённого кода.

По данным компании Censys, около 57% или 52 000 из 90 310 серверов с открытым доступом к Tinyproxy по состоянию на 3 мая 2024 года работали на уязвимой версии инструмента. Большинство таких серверов расположено в США (32 846), Южной Корее (18 358), Китае (7 808), Франции (5 208) и Германии (3 680).

Cisco Talos сообщила разработчикам Tinyproxy об уязвимости 22 декабря 2023 года и тогда же предоставила PoC-эксплойт, демонстрирующий как эта проблема может быть использована для вызова сбоев и, в некоторых случаях, выполнения произвольного кода.

Тем не менее, один из ведущих разработчиков Tinyproxy под ником «rofl0r» заявил, что сообщение о проблеме было направлено специалистами Talos на неактуальный электронный адрес. В связи с этим команде разработки стало известно о проблеме лишь вчера, пятого мая, после того, как о ней сообщил один из разработчиков, сопровождающий версию пакета Tinyproxy для Debian.

Получи VPN-прокси для России через наш удобный Телеграмм-бот:

Иными словами, проблема оставалась нерешённой, а серверы были уязвимы для атак практически полгода. Более того, rofl0r заявил, что если бы проблема была зарегистрирована через GitHub или IRC, то она была бы решена в течение суток.

  Под маской фейковых магазинов: как BogusBazaar похитила данные 850 000 карт

Подобная ситуация создала необычный прецедент, который, возможно, заставит специалистов Talos задуматься о некоторой неэффективности выбранных ими методов коммуникации с разработчиками программного обеспечения.

Тем временем, разработчики Tinyproxy советуют пользователям обновить версию инструмента, как только появится возможность, а также рекомендуют не оставлять сервис открытым для общего доступа в Интернете.

В начале апреля мы рассказывали о похожей ситуации, произошедшей с крупными производителями компьютерного оборудования Intel и Lenovo. Как оказалось, их программное обеспечение таило в себе уязвимость, исправленную больше шести лет назад. Это случилось из-за того, что недостатку не был присвоен CVE-идентификатор, в связи с чем исправление не было задействовано в продуктах сторонних поставщиков.

Правильное, полное и своевременное информирование об уязвимостях имеет важнейшее значение для обеспечения кибербезопасности и защиты пользователей от потенциальных угроз.

Инцидент с уязвимостью в Tinyproxy показывает необходимость совершенствования процессов обмена информацией между исследователями кибербезопасности и разработчиками программного обеспечения, чтобы избежать подобных ситуаций в будущем.

Приватность — это право, а не роскошь.

Подпишитесь на наш канал и защитите свои права

Купить безопасный VPN означает приобретение виртуальной частной сети (VPN), которая обеспечивает высокий уровень безопасности и защиты ваших данных при использовании интернета. Безопасный VPN предлагает множество функций, направленных на защиту вашей конфиденциальности, анонимности и предотвращение утечек данных.

Почему стоит купить безопасный VPN?

  • Защита личных данных: Безопасный VPN защищает ваши данные от кражи и слежки, особенно при использовании общественных Wi-Fi сетей.

  • Обход цензуры: Безопасные VPN позволяют обойти географические ограничения и получить доступ к заблокированным ресурсам и сайтам.

  • Спокойствие: Зная, что ваши данные защищены, вы можете более уверенно использовать интернет и меньше беспокоиться о безопасности.

  • Гибкость и настройки: Безопасные VPN часто предлагают различные настройки и функции, которые могут быть адаптированы под ваши нужды.

  Новая надежда на борьбу со старением: ученые разработали тест для оценки биологического возраста

Оставить ответ