Se cree que hasta 350 000 proyectos de código abierto son potencialmente vulnerables a la explotación como resultado de una falla de seguridad en un módulo de Python que no ha sido parcheado durante 15 años.
Los repositorios de código abierto abarcan una serie de verticales de la industria, como desarrollo de software, inteligencia artificial/aprendizaje automático, desarrollo web, medios, seguridad, gestión de TI.
La deficiencia, rastreada como CVE-2007-4559 (puntuación CVSS: 6,8), tiene sus raíces en el módulo tarfile, cuya explotación exitosa podría conducir a la ejecución de código desde una escritura de archivo arbitraria.
“La vulnerabilidad es un ataque de ruta transversal en las funciones extract y extractall en el módulo tarfile que permite a un atacante sobrescribir archivos arbitrarios agregando la secuencia ‘..’ a los nombres de archivo en un archivo TAR”, dijo Kasimir Schulz, investigador de seguridad de Trellix. dijo en un escrito.
Revelado originalmente en agosto de 2007, el error tiene que ver con cómo se puede aprovechar un archivo tar especialmente diseñado para sobrescribir archivos arbitrarios en una máquina de destino simplemente al abrir el archivo.
En pocas palabras, un actor de amenazas puede explotar la debilidad al cargar un archivo tar malicioso de una manera que hace posible escapar del directorio en el que se pretende extraer un archivo y lograr la ejecución del código, lo que permite al adversario potencialmente tomar el control de un objetivo. dispositivo.
“Nunca extraiga archivos de fuentes no confiables sin una inspección previa”, la documentación de Python para tarfile lee. “Es posible que los archivos se creen fuera de la ruta, por ejemplo, miembros que tienen nombres de archivo absolutos que comienzan con “https://thehackernews.com/” o nombres de archivo con dos puntos ‘..'”.
La vulnerabilidad también recuerda una falla de seguridad revelada recientemente en la utilidad UnRAR de RARlab (CVE-2022-30333) que podría conducir a la ejecución remota de código.
Trellix ha lanzado además una utilidad personalizada llamada Creosota para buscar proyectos vulnerables a CVE-2007-4559, utilizándolo para descubrir la vulnerabilidad en el IDE de Spyder Python, así como en Polemarch.
“Si no se controla, esta vulnerabilidad se ha agregado involuntariamente a cientos de miles de proyectos de código abierto y cerrado en todo el mundo, creando una superficie de ataque sustancial en la cadena de suministro de software”, Douglas McKee. señalado.
About the Author
