Tinyproxy: cómo un canal de comunicación «roto» llevó a la vulnerabilidad de 50,000 servidores
Esto es a lo que puede conducir una comunicación ineficaz entre investigadores y desarrolladores.
Más del 50% de los 90,310 servidores que utilizan la herramienta proxy Tinyproxy son vulnerables debido a un error crítico, identificado como CVE-2023-49606 y calificado con 9.8 de 10 puntos posibles en la escala CVSS. El error se clasifica como una vulnerabilidad de tipo «Use-After-Free» en las versiones Tinyproxy 1.10.0 y 1.11.1.
Según un informe de los especialistas de Cisco Talos, enviar un encabezado HTTP especialmente formado puede llevar al reuso de memoria ya liberada, causando su corrupción, lo que a su vez puede conducir a la ejecución de código remoto.
Datos de la empresa Censys indican que aproximadamente el 57%, o 52,000 de los 90,310 servidores con acceso público a Tinyproxy a fecha del 3 de mayo de 2024, funcionaban en una versión vulnerable de la herramienta. La mayoría de estos servidores están ubicados en Estados Unidos (32,846), Corea del Sur (18,358), China (7,808), Francia (5,208) y Alemania (3,680).
Cisco Talos notificó a los desarrolladores de Tinyproxy sobre la vulnerabilidad el 22 de diciembre de 2023 y proporcionó un exploit PoC que demuestra cómo este problema puede ser utilizado para causar fallos y, en algunos casos, la ejecución de código arbitrario.
A su vez, uno de los principales desarrolladores de Tinyproxy, conocido con el sobrenombre de «rofl0r», dijo que el mensaje sobre el problema fue enviado por especialistas de Talos a una dirección de correo electrónico desactualizada. Como resultado, el equipo de desarrollo no se dio cuenta del problema hasta el 5 de mayo, después de que uno de los desarrolladores que mantenía la versión Debian del paquete Tinyproxy lo informara.
En otras palabras, el problema permaneció sin resolverse y los servidores fueron vulnerables a ataques durante casi medio año. Además, rofl0r afirmó que si el problema se hubiera registrado a través de GitHub o IRC, se habría resuelto en un día.
Esta situación ha creado un precedente inusual que podría hacer que los especialistas de Talos reconsideren la eficacia de los métodos de comunicación que eligieron para interactuar con los desarrolladores de software.
Mientras tanto, los desarrolladores de Tinyproxy aconsejan a los usuarios actualizar la versión de la herramienta tan pronto como sea posible, y también recomiendan no dejar el servicio abierto al acceso público en Internet.
La información correcta, completa y oportuna sobre las vulnerabilidades es de suma importancia para garantizar la ciberseguridad y proteger a los usuarios contra posibles amenazas.
El incidente con la vulnerabilidad en Tinyproxy subraya la necesidad de mejorar los procesos de intercambio de información entre investigadores de ciberseguridad y desarrolladores de software para evitar situaciones similares en el futuro.
¿Estás cansado de que Internet sepa todo sobre ti?