Pas moins de 350 000 projets open source seraient potentiellement vulnérables à l’exploitation en raison d’une faille de sécurité dans un module Python qui n’a pas été corrigé depuis 15 ans.
Les référentiels open source couvrent un certain nombre de secteurs verticaux, tels que le développement de logiciels, l’intelligence artificielle/apprentissage automatique, le développement Web, les médias, la sécurité, la gestion informatique.
La lacune, suivie comme CVE-2007-4559 (score CVSS : 6,8), est enraciné dans le module tarfile, dont l’exploitation réussie pourrait conduire à l’exécution de code à partir d’une écriture de fichier arbitraire.
“La vulnérabilité est une attaque de traversée de chemin dans les fonctions d’extraction et d’extraction du module tarfile qui permet à un attaquant d’écraser des fichiers arbitraires en ajoutant la séquence ‘..’ aux noms de fichiers dans une archive TAR”, a déclaré Kasimir Schulz, chercheur en sécurité chez Trellix. a dit dans une rédaction.
Initialement divulgué en août 2007, le bogue a à voir avec la façon dont une archive tar spécialement conçue peut être exploitée pour écraser des fichiers arbitraires sur une machine cible simplement à l’ouverture du fichier.
En termes simples, un acteur malveillant peut exploiter la faiblesse en téléchargeant un fichier tar malveillant d’une manière qui permet d’échapper au répertoire dans lequel un fichier est destiné à être extrait et d’exécuter du code, permettant à l’adversaire de prendre potentiellement le contrôle d’une cible. dispositif.
“N’extrayez jamais d’archives à partir de sources non fiables sans inspection préalable”, la documentation Python pour tarfile lit. “Il est possible que des fichiers soient créés en dehors du chemin, par exemple des membres dont les noms de fichiers absolus commencent par “https://thehackernews.com/” ou des noms de fichiers avec deux points ‘…’.”
La vulnérabilité rappelle également une faille de sécurité récemment révélée dans l’utilitaire UnRAR de RARlab (CVE-2022-30333) qui pourrait conduire à l’exécution de code à distance.
Trellix a en outre publié un utilitaire personnalisé appelé Créosote pour rechercher des projets vulnérables à CVE-2007-4559, en l’utilisant pour découvrir la vulnérabilité dans l’IDE Spyder Python ainsi que dans Polemarch.
“Laissée sans contrôle, cette vulnérabilité a été involontairement ajoutée à des centaines de milliers de projets open source et fermés dans le monde, créant une surface d’attaque substantielle de la chaîne d’approvisionnement logicielle”, Douglas McKee c’est noté.