พบ Tinyproxy instance กว่า 52,000 รายการ ที่เข้าถึงได้บนอินเทอร์เน็ต มีความเสี่ยงต่อช่องโหว่ CVE-2023-49606 ซึ่งเป็นช่องโหว่การเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกล (RCE) ความรุนแรงระดับ Critical ที่เพิ่งถูกเปิดเผยเมื่อไม่นานมานี้
Tinyproxy เป็น open-source HTTP and HTTPS proxy server ที่ออกแบบมาให้ทำงานได้รวดเร็ว มีความคล่องตัวสูง (lightweight) ที่ได้รับการปรับแต่งเป็นพิเศษสำหรับระบบปฏิบัติการที่คล้ายกับ UNIX ซึ่งนิยมใช้โดยธุรกิจขนาดเล็ก ผู้ให้บริการ WiFi สาธารณะ และผู้ใช้ตามบ้าน
ในเดือนพฤษภาคม 2024 ทาง Cisco Talos ได้เผยแพร่ช่องโหว่ CVE-2023-49606 (คะแนน CVSS 9.8/10 ความรุนแรงระดับ Critical) ซึ่งเป็นช่องโหว่ use-after-free ใน Tinyproxy ซึ่งนักวิจัยค้นพบในเดือนธันวาคม 2023 ซึ่งส่งผลกระทบต่อเวอร์ชัน 1.11.1 (ล่าสุด) และ 1.10.0 หลังจากที่ระบุว่าไม่ได้รับการตอบกลับจากผู้พัฒนาภายหลังจากที่รายงานการพบช่องโหว่ดังกล่าวไป
รายงานของ Cisco ได้แชร์ข้อมูลโดยละเอียดเกี่ยวกับช่องโหว่ดังกล่าว รวมถึงการพิสูจน์การโจมตีช่องโหว่ (PoC) ที่ทำให้เซิร์ฟเวอร์ถูกโจมตี และอาจนำไปสู่การเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกล โดยช่องโหว่ดังกล่าวเกิดขึ้นใน 'remove_connection_headers()' function ซึ่ง specific HTTP headers (Connection and Proxy-Connection) ไม่ได้รับการจัดการอย่างถูกต้อง ส่งผลให้หน่วยความจำว่าง และถูกเข้าถึงอย่างไม่ถูกต้องอีกครั้ง ทำให้สามารถโจมตีได้ง่ายด้วย HTTP request ที่มีรูปแบบผิดปกติ (e.g., Connection: Connection) โดยไม่จำเป็นต้องผ่านการยืนยันตัวตนก่อน
ทั้งนี้ทาง Censys ได้เผยแพร่ข้อมูลว่าพบบริการ Tinyproxy ที่เข้าถึงได้บนอินเทอร์เน็ตกว่า 90,000 รายการ ซึ่งพบว่าประมาณ 57% มีความเสี่ยงต่อช่องโหว่ CVE-2023-49606 โดยพบ Tinyproxy instance เวอร์ชัน 1.11.1 จำนวน 18,372 รายการ และ Tinyproxy instance เวอร์ชัน 1.10.0 จำนวน 1,390 รายการ ซึ่งส่วนใหญ่อยู่ในสหรัฐอเมริกา (11,946) ตามด้วยเกาหลีใต้ (3,732) จีน (675) ฝรั่งเศส (300) และเยอรมนี (150)
ได้รับการออกอัปเดตเพื่อแก้ไขช่องโหว่แล้ว
ต่อมาทาง Tinyproxy ได้ออกอัปเดตเพื่อแก้ไขช่องโหว่ CVE-2023-49606 รวมถึงโต้แย้งว่าไม่เคยได้รับรายงานการแจ้งเตือนช่องโหว่ดังกล่าวจากทาง Cisco
ทั้งนี้นักพัฒนาได้ตั้งข้อสังเกตว่าคำสั่งที่อัปเดตจะทริกเกอร์หลังจากผ่านการยืนยันตัวตน และ access list ก่อนเท่านั้น ซึ่งหมายความว่าช่องโหว่ดังกล่าวอาจไม่ส่งผลกระทบต่อการตั้งค่าทั้งหมด โดยเฉพาะอย่างยิ่งในสภาพแวดล้อมที่มีการควบคุม เช่น เครือข่ายองค์กร หรือใช้การยืนยันตัวตนขั้นพื้นฐานด้วยรหัสผ่านที่ปลอดภัย
แต่อย่างไรก็ตามผู้ที่ใช้งาน Tinyproxy instance ก็ควรทำการอัปเดตเพื่อป้องกันการโจมตีจากช่องโหว่ดังกล่าว
ที่มา : bleepingcomputer
You must be logged in to post a comment.