CVE-2023-49606 (CVSS 9.8): Tinyproxy Zero-Day Threatens Thousands
2024/05/05 SecurityOnline — 個人のホビイスト/中小企業/パブリック Wi-Fi プロバイダーなどが、そのシンプルさと有益性から好んで使用する、軽量 HTTP/S プロキシである Tinyproxy に深刻な欠陥が発見された。このソフトウェアの最新バージョンのユーザーに、深刻な脅威をもたらすこの脆弱性 CVE-2023-49606 (CVSS:9.8) は、Critical に分類されている。
脆弱性の詳細
脆弱性 CVE-2023-49606 は use-after-free の欠陥に起因するものであり、Cisco Talos の Dimitrios Tatsis により発見された脆弱性である。この脆弱性は、Tinyproxy バージョン 1.11.1/1.10.0 において、HTTP 接続ヘッダを解析する方式に関連するものだ方。これらのヘッダの処理における、一見すると些細なバグであるが、その悪用に成功した攻撃者は、システム・クラッシュやサービス拒否 (DoS) を引き起こす可能性を持つ。なお、リモート・コード実行 (RCE) は理論的には可能だが、そのためには非常に特殊な状況が必要となるため可能性は低くなる。ただし、警戒は不可欠である。
エクスプロイトの潜在的な影響
CVE-2023-49606 の悪用に成功した未認証の攻撃者が、特別に細工した HTTP ヘッダを送信し、サーバ上でメモリ破壊を引き起こす可能性がある。この脆弱性は、ネットワーク機能とセキュリティにおいて、Tinyproxy プロキシサーバが重要な役割を果たしている小規模なネットワークにとって、特に危険である。そのような環境でプロキシ・サーバが破壊されると、深刻なデータ損失やサービス中断につながる可能性がある。さらに、エクスプロイトが単純であるため、実行の障壁が低く、潜在的な攻撃のリスクが高まる。
広範な暴露とリスク
Censys によると、2024年5月3日の時点において、Tinyproxy サービスを公開しているホスト数は 90,310件であり、その大半は米国と韓国に位置しているという。驚くべきことに、これらの公開ホストの約 57% が、脆弱なバージョン 1.11.1/1.10.0 を実行している。これらのサーバが最も集中しているのは、AMAZON-02 ネットワーク上であり、強固なセキュリティ対策が施されていない可能性のある、小規模な事業者が使用していることが多い。
改善策
Tinyproxy のメンテナから、公式パッチが提供されていないことから、特に開発/テストに使用する環境では、Tinyproxy サービスがインターネット上に公開されないよう注意する必要がある。ユーザーに対して強く推奨されるのは、定期的なセキュリティ更新とサポートを受ける、代替プロキシ・ソリューションの採用の検討である。少なくとも、パッチが利用可能になるまで、Tinyproxy へのアクセスを、内部ネットワークの使用に限定することも検討する必要がある。
Tinyproxy に CVSS 値が 9.8 の脆弱性ですが、現時点ではパッチが未適用とのことです。ご利用のチームは、緩和策をご参照ください。この OSS プロダクトですが、「Tinyproxy は、GNU General Public License に基づきリリースされている、小型で効率的な HTTP/SSL プロキシ・デーモンである。 Tinyproxy は、セキュリティ・リスクが生じる小規模なネットワーク設定にきわめて有用である。 Tinyproxy の重要な機能の 1 つは、バッファリング接続の概念である。 現実に、Tinyproxy はサーバからの高速応答をバッファリングし、クライアントが受け入れる最高速度で中継する。 この機能により、インターネットの速度低下の問題が大幅に軽減される。 インターネット接続を小規模なネットワークと共有しており、HTTP リクエストのみを許可したい場合において、Tinyproxy は優れたツールである」と、GitHub に記されていました。よろしければ、Proxy で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.