350.000 kadar açık kaynak projesinin, bir Python modülünde 15 yıldır yama uygulanmayan bir güvenlik açığının bir sonucu olarak potansiyel olarak istismara açık olduğuna inanılıyor.
Açık kaynak havuzları, yazılım geliştirme, yapay zeka/makine öğrenimi, web geliştirme, medya, güvenlik ve BT yönetimi gibi bir dizi endüstri dikeyini kapsar.
Eksiklik, takip edilen CVE-2007-4559 (CVSS puanı: 6.8), başarılı bir şekilde kullanılması keyfi bir dosya yazma işleminden kod yürütülmesine yol açabilecek olan tarfile modülünde köklenir.
Trellix güvenlik araştırmacısı Kasimir Schulz, “Açıklık, bir saldırganın bir TAR arşivindeki dosya adlarına ‘..’ dizisini ekleyerek rasgele dosyaların üzerine yazmasına izin veren tarfile modülündeki ayıklama ve çıkarma işlevlerindeki bir yol geçiş saldırısıdır.” söz konusu bir yazımda.
İlk olarak Ağustos 2007’de açıklanan hata, yalnızca dosyayı açtıktan sonra hedef makinedeki rastgele dosyaların üzerine yazmak için özel olarak hazırlanmış bir tar arşivinden nasıl yararlanılabileceğiyle ilgili.
Basitçe söylemek gerekirse, bir tehdit aktörü, bir dosyanın çıkarılması amaçlanan dizinden kaçmayı ve kod yürütmeyi gerçekleştirmeyi mümkün kılacak ve saldırganın potansiyel olarak bir hedefin kontrolünü ele geçirmesine izin verecek şekilde kötü amaçlı bir tarfile yükleyerek zayıflıktan yararlanabilir. cihaz.
“Önceden incelemeden asla güvenilmeyen kaynaklardan arşivleri çıkarmayın”, tarfile için Python belgeleri okur. “Dosyaların yolun dışında oluşturulması mümkündür, örneğin “https://thehackernews.com/” ile başlayan mutlak dosya adlarına veya iki noktalı dosya adlarına sahip üyeler ‘..’.”
Güvenlik açığı, RARlab’ın UnRAR yardımcı programında (CVE-2022-30333) yakın zamanda açıklanan ve uzaktan kod yürütülmesine yol açabilecek bir güvenlik açığını da hatırlatıyor.
Trellix ayrıca, adında özel bir yardımcı program yayınladı. Kreozot Polemarch’ın yanı sıra Spyder Python IDE’deki güvenlik açığını ortaya çıkarmak için kullanarak CVE-2007-4559’a karşı savunmasız projeleri taramak.
Douglas McKee, “İşaretsiz bırakıldığında, bu güvenlik açığı dünya çapında yüz binlerce açık ve kapalı kaynaklı projeye kasıtsız olarak eklendi ve önemli bir yazılım tedarik zinciri saldırı yüzeyi oluşturdu.” kayıt edilmiş.