Ленивый программист поставил под удар 52 тысячи серверов по всему миру. Из-за него открылась опасная «дыра»
Прокси-утилита Tinyproxy содержит в себе опасную уязвимость, из-за которой множество серверов могут стать жертвой хакеров, у которых нет большого опыта взлома. Разработчик в курсе проблемы, но пока ничего не предпринимает – видите ли, ему прислали уведомление о «дыре» в его продукте на устаревший адрес почты. Почему он не потрудился актуализировать свою контактную информацию – он не уточняет.
Говоришь на меня – переводишь на себя
Прокси-инструмент Tinyproxy, распространяющийся на бесплатной основе и размещенный на GitHub, оказался полезен не только системным администраторам, но и хакерам. Как пишет портал Hacker News, в нем еще в конце 2023 г. нашли огромную «дыру», которую разработчики совершенно не торопятся латать, хотя прекрасно знают о ее существовании.
Проблему выявили ИБ-эксперты группы Cisco Tallos – уязвимость получила индекс CVE-2023-49606 и едва ли не максимальный уровень опасности, 9,8 балла из 10 возможных.
Специалисты Tallos связались с программистом под псевдонимом rofl0r, являющимся одним из ключевых разработчиков «дырявой» прокси-утилиты. Электронное письмо было направлено ему еще в последних числах декабря 2023 г., однако патча для Tinyproxy на момент выхода материала не существовало.
Rofl0r заявил, что сотрудники Tallos отправили свое письмо на неактуальный адрес электронной почты, но почему он не указал на сайте проекта действующие контакты, программист не объяснил. Теперь он заявляет, что из-за этого недоразумения разработчики Tinyproxy узнали о проблеме лишь 5 мая 2024 г. – на нее указал программист, курирующий разработку Tinyproxy под Debian Linux.
Также rofl0r поспешил переложить вину с себя на специалистов Tallos. По его словам, нужно было не писать на электронную почту, а отправить уведомление через GitHub или, как альтернатива, оставить ему сообщение в IRC. Rofl0r утверждает, что если бы ИБ-специалисты поступили именно так, то проблема была бы решена в течение суток.
Отметим, что IRC – это древний мессенджер, пик популярности которого пришелся на начало XXI века. В 2024 г. подавляющее большинство современных пользователей даже не знает о его существовании – он не входит даже в 10-ку самых популярных сервисов для общения.
Последствия плохой коммуникации
В своем письме сотрудники Tallos направили rofl0r не только уведомление о найденной проблеме, но даже готовый эксплойт, наглядно демонстрирующий, что может сделать с системой брешь в Tinyproxy. Если такой эксплойт есть у них, киберпреступники, вероятно, тоже смогли собрать его.
По сути, для эксплуатации «дыры» в Tinyproxy не нужны глубокие познания в ИТ. Достаточно будет отправить особым образом сформированный HTTP-заголовок, вследствие чего произойдет повторное использование ранее освобожденной памяти, что вызовет ее повреждение и даст хакерам возможность запустить любой нужный им код на сервере жертвы.
По данным Hacker News, на начало мая 2024 г. в мире насчитывалось свыше 90,3 тыс. серверов, на которых была установлена утилита Tinyproxy. Более половины из них совершенно точно уязвимы, так как уязвимость CVE-2023-49606 была обнаружена в версиях Tinyproxy 1.10.0 и 1.11.1, установленных на них. Не исключено, что она есть и в других сборках – тогда уязвимых серверов будет больше.
Если точнее, то неиллюзорная угроза взлома из-за Tinyproxy нависла над владельцами как минимум 52 тыс. серверов. Это примерно 57% от общего числа серверов, на которых работает данная утилита.
Меньше всех повезло системным администраторам из США. В этой стране сконцентрировано наибольшее количество «дырявых» серверов – их там около 32,85 тыс. Второе место заняла Южная Корея – в этой стране насчитывается почти 18,36 тыс. серверов с проблемной сборкой Tinyproxy.
Тройку лидеров закрывает Китай – 7,8 тыс. серверов. За ним идут Франция (5,2 тыс.) и Германия (около 3,7 тыс.). Из этого следует, что проблема с Tinyproxy получила глобальное распространение – детище rofl0r и его коллег открыло хакерам легкий доступ к серверам как минимум в Европе, Азии и Северной Америке.