Mais de metade dos servidores que usam o serviço Tinyproxy estão expostos a uma vulnerabilidade crítica, ainda não corrigida, que permite a execução remota de código. O Tinyproxy é um serviço de proxy para sistemas Linux. Pode ser usado em servidores Linux ou Windows e disponibiliza um conjunto de recursos usados para intermediar a ligação entre o servidor de origem do cliente e um qualquer servidor de destino, que suporte de ligações HTTP ou HTTPS. Por apostar sobretudo na rapidez e simplicidade é usado maioritariamente em pequenas empresas, redes de Wi-Fi públicas e serviços domésticos, que não precisam de serviços de proxy muito complexos.

A falha CVE-2023-49606 foi descoberta pela Cisco Talos no final do ano passado e foi entretanto classificada com um grau de severidade de 9.8 numa escala que vai até 10. A empresa garante que esperou seis meses para falar publicamente sobre o assunto e para mostrar a prova de conceito que entretanto desenvolveu. Com esta prova de conceito, lançada no dia 1 de maio, mostra como é possível explorar a falha para “mandar abaixo” servidores, provocando ataques de negação de serviço, e promover ataques que permitem a execução remota de código.

Nestes seis meses, a Cisco garante que tentou avisar os programadores do Tinyproxy, sem sucesso, um esforço que a equipa open-source questionou na informação disponibilizada com mais detalhes sobre a correção para o problema, que foi lançada no passado domingo.

A prova de conceito da Cisco foi apresentada no passado dia 1 de maio. No fim de semana, uma análise da Censys identificava 90 mil hosts online expostos ao Tinyproxy, 57% dos quais vulneráveis à falha. Mais concretamente foram identificadas 18.372 instâncias a correr a versão mais recente do software e 1.390 a usar a anterior, ambas afetadas pelo problema. A maior parte destas instâncias estão nos Estados Unidos (11.946). Logo a seguir, os países mais afetados são a Coreia do Sul e a China. Na Europa destacam-se França e Alemanha com 300 e 150 instâncias expostas à vulnerabilidade, respetivamente.

Um dia depois destes números terem sido divulgados a equipa que mantém o software open source avançou com uma correção que faz os ajustes necessários à gestão de memória na execução do software, para eliminar a brecha para ataques descoberta pela Cisco. A correção vai ser integrada na próxima versão do Tinyproxy mas quem usar o serviço pode também integrar já a correção na versão que está a usar se for uma das duas afetadas.

Os programadores também explicaram que são necessárias condições específicas para explorar a vulnerabilidade, que não devem valer em redes empresariais ou outras, protegidas com mecanismos de autenticação ou palavras passe seguras.