Python

Se cree que hasta 350 000 proyectos de código abierto son potencialmente vulnerables a la explotación como resultado de una falla de seguridad en un módulo de Python que no ha sido parchado durante 15 años.

Los repositorios de código abierto abarcan una serie de verticales de la industria, como desarrollo de software, inteligencia artificial/aprendizaje automático, desarrollo web, medios, seguridad, gestión de TI.

La deficiencia, rastreada como CVE-2007-4559 (puntaje CVSS: 6.8), tiene sus raíces en el módulo tarfile, cuya explotación exitosa podría conducir a la ejecución de código desde una escritura de archivo arbitraria.

«La vulnerabilidad es un ataque transversal de ruta en las funciones extract y extractall en el módulo tarfile que permite a un atacante sobrescribir archivos arbitrarios agregando la secuencia ‘..’ a los nombres de archivo en un archivo TAR», dijo el investigador de seguridad de Trellix, Kasimir Schulz , en un comunicado. escribir

Revelado originalmente en agosto de 2007, el error tiene que ver con cómo se puede aprovechar un archivo tar especialmente diseñado para sobrescribir archivos arbitrarios en una máquina de destino simplemente al abrir el archivo.

En pocas palabras, un actor de amenazas puede explotar la debilidad al cargar un archivo tar malicioso de una manera que hace posible escapar del directorio en el que se pretende extraer un archivo y lograr la ejecución del código, lo que permite al adversario potencialmente tomar el control de un objetivo. dispositivo.

«Nunca extraiga archivos de fuentes no confiables sin una inspección previa», dice la documentación de Python para tarfile . «Es posible que los archivos se creen fuera de la ruta, por ejemplo, miembros que tienen nombres de archivo absolutos que comienzan con ‘/’ o nombres de archivo con dos puntos ‘..'».

La vulnerabilidad también recuerda una falla de seguridad revelada recientemente en la utilidad UnRAR de RARlab ( CVE-2022-30333 ) que podría conducir a la ejecución remota de código.

Trellix ha lanzado además una utilidad personalizada llamada Creosote para buscar proyectos vulnerables a CVE-2007-4559, utilizándola para descubrir la vulnerabilidad en el IDE de Spyder Python, así como en Polemarch.

«Si no se controla, esta vulnerabilidad se ha agregado involuntariamente a cientos de miles de proyectos de código abierto y cerrado en todo el mundo, creando una superficie de ataque sustancial en la cadena de suministro de software», señaló Douglas McKee .

Fuente y redacción: thehackernews.com

Compartir