Last Updated on 2024-07-02 08:40 by admin
90,310台のホストのうち50%以上が、インターネット上でTinyproxyサービスを公開しており、HTTP/HTTPSプロキシツールに未修正の重大なセキュリティ脆弱性が存在することが明らかになった。この脆弱性はCVE-2023-49606として追跡され、CVSSスコアは最大10点中9.8点とされている。Cisco Talosによると、この脆弱性はバージョン1.10.0および最新バージョンである1.11.1に影響を与えるuse-after-freeバグである。「特別に作成されたHTTPヘッダーによって以前に解放されたメモリの再利用が引き起こされ、メモリ破損につながり、遠隔コード実行に至る可能性がある」とTalosはアドバイザリーで述べている。攻撃者は認証されていないHTTPリクエストを送信することでこの脆弱性をトリガーできる。
Censysによると、2024年5月3日時点で公開インターネットにTinyproxyサービスを公開している90,310台のホストのうち、約52,000台(約57%)が脆弱なバージョンのTinyproxyを実行している。公開されているホストの大半は米国(32,846台)、韓国(18,358台)、中国(7,808台)、フランス(5,208台)、ドイツ(3,680台)に位置している。Talosは2023年12月22日にこの問題を報告し、HTTP Connection接続の解析に関する問題を武器化してクラッシュや場合によってはコード実行を引き起こす方法を説明する証拠の概念(PoC)を公開した。
Tinyproxyのメンテナは、Talosが報告を「おそらく時代遅れのメールアドレス」に送信したとして非難し、2024年5月5日にDebian Tinyproxyパッケージのメンテナによって問題を知らされたと述べた。「GitHub上に問題が報告されず、IRCチャットで脆弱性について言及されたこともなかった」とrofl0rはコミットで述べている。「問題がGitHubやIRCで報告されていれば、バグは1日以内に修正されていただろう」とも。ユーザーには、利用可能になり次第最新バージョンに更新すること、またTinyproxyサービスを公開インターネットに公開しないことが推奨されている。
【ニュース解説】
最近、TinyproxyというHTTP/HTTPSプロキシツールにおいて、重大なセキュリティ脆弱性が発見されました。この脆弱性は、CVE-2023-49606として追跡され、CVSSスコアは9.8と非常に高いリスクを示しています。具体的には、バージョン1.10.0および1.11.1に影響を及ぼすuse-after-freeバグであり、特定のHTTPヘッダーを用いることで以前に解放されたメモリの再利用を引き起こし、メモリ破損による遠隔コード実行のリスクがあるとされています。
この問題の影響を受けるTinyproxyサービスを公開しているホストは、全体で90,310台中約57%にあたる52,000台に上り、特に米国、韓国、中国、フランス、ドイツに多く見られます。この脆弱性を悪用するには、攻撃者が認証されていないHTTPリクエストを送信するだけでよく、その結果、攻撃者による任意のコード実行が可能になる恐れがあります。
この問題の報告と対応に関しては、Tinyproxyのメンテナとセキュリティ研究チーム間でコミュニケーションの課題があったようです。報告が古いメールアドレスに送られたこと、GitHubやIRCでの報告がなかったことが指摘されています。これは、セキュリティ脆弱性の迅速な対応において、適切な報告ルートの確立がいかに重要かを示しています。
この脆弱性の発見と公表は、インターネット上でサービスを提供する際のセキュリティリスクの高さを改めて浮き彫りにしました。特に、公開インターネットにサービスを露出させる場合、潜在的な攻撃者からのリスクが常に存在します。このため、最新のセキュリティパッチを適用し、不要なサービスの公開を避けることが重要です。
また、このような脆弱性が発見された際には、迅速な情報共有と対応が求められます。セキュリティコミュニティ内での協力と、適切な報告手段の利用が、インターネットの安全を守る上で不可欠です。今回の事例は、セキュリティ研究者とソフトウェアメンテナ間のコミュニケーションの改善が、今後のセキュリティ対策においても重要な課題であることを示しています。
from Critical Tinyproxy Flaw Opens Over 50,000 Hosts to Remote Code Execution.
