Mais de 50% dos 90.310 hosts foram identificados expondo um serviço Tinyproxy na internet, vulnerável a uma falha de segurança crítica não corrigida na ferramenta de proxy HTTP/HTTPS. A vulnerabilidade, conhecida como CVE-2023-49606, possui uma pontuação CVSS de 9.8 em um máximo de 10, de acordo com a Cisco Talos, que a descreveu como um bug de uso após liberação afetando as versões 1.10.0 e 1.11.1, esta última sendo a mais recente.

Segundo a Talos, “um cabeçalho HTTP especialmente elaborado pode acionar o reuso de memória previamente liberada, o que leva à corrupção de memória e poderia resultar na execução remota de código”. Ou seja, um ator de ameaça não autenticado poderia enviar um cabeçalho HTTP Connection especialmente elaborado para acionar a corrupção de memória que pode resultar na execução remota de código.

Segundo os pesquisadores os 90.310 hosts expondo um serviço Tinyproxy para a internet pública até 3 de maio de 2024, sendo que 52.000 deles estão executando uma versão vulnerável do Tinyproxy. A maioria dos hosts acessíveis publicamente está localizada nos EUA, Coreia do Sul, China, França e Alemanha.

A Talos, que relatou o problema em 22 de dezembro de 2023, também lançou uma prova de conceito (PoC) para a falha, descrevendo como o problema com a análise de conexões HTTP Connection poderia ser aproveitado para causar uma falha e, em alguns casos, execução de código.

Os mantenedores do Tinyproxy, em um conjunto de commits feitos durante o fim de semana, criticaram a Talos por enviar o relatório para um endereço de e-mail provavelmente desatualizado adicionando que foram informados por um mantenedor do pacote Tinyproxy do Debian em 5 de maio de 2024. Nenhum problema foi relatado no GitHub, e ninguém mencionou uma vulnerabilidade no chat IRC mencionado.