Có tới 350.000 dự án mã nguồn mở được cho là có khả năng dễ bị khai thác do lỗi bảo mật trong mô-đun Python vẫn chưa được vá trong 15 năm.
Các kho mã nguồn mở trải dài một số ngành dọc của ngành, chẳng hạn như phát triển phần mềm, trí tuệ nhân tạo / máy học, phát triển web, truyền thông, bảo mật, quản lý CNTT.
Thiếu sót, được theo dõi là CVE-2007-4559 (điểm CVSS: 6,8), bắt nguồn từ mô-đun tarfile, việc khai thác thành công có thể dẫn đến thực thi mã từ một tệp tùy ý ghi.
Nhà nghiên cứu bảo mật của Trellix, Kasimir Schulz, cho biết: “Lỗ hổng bảo mật là một cuộc tấn công theo đường dẫn trong các chức năng trích xuất và giải nén trong mô-đun tarfile cho phép kẻ tấn công ghi đè các tệp tùy ý bằng cách thêm chuỗi ‘..' vào tên tệp trong kho lưu trữ TAR” hãy viết ra giấy.
Được tiết lộ ban đầu vào tháng 8 năm 2007, lỗi này liên quan đến cách một kho lưu trữ tar được chế tạo đặc biệt có thể được tận dụng để ghi đè các tệp tùy ý trên máy mục tiêu chỉ đơn giản khi mở tệp.
Nói một cách đơn giản, tác nhân đe dọa có thể khai thác điểm yếu bằng cách tải lên tệp tarfile độc hại theo cách có thể thoát khỏi thư mục mà tệp dự định sẽ được trích xuất và thực hiện mã, cho phép kẻ thù có khả năng chiếm quyền kiểm soát mục tiêu thiết bị.
“Không bao giờ trích xuất các kho lưu trữ từ các nguồn không đáng tin cậy mà không cần kiểm tra trước”, tài liệu Python cho tarfile cho biết. “Có thể tệp được tạo bên ngoài đường dẫn, ví dụ: thành viên có tên tệp tuyệt đối bắt đầu bằng” https://thehackernews.com/ “hoặc tên tệp có hai dấu chấm ‘..'.”
Lỗ hổng này cũng gợi nhớ đến một lỗ hổng bảo mật được tiết lộ gần đây trong tiện ích UnRAR của rarlab (CVE-2022-30333) có thể dẫn đến việc thực thi mã từ xa.
Trellix đã phát hành thêm một tiện ích tùy chỉnh có tên Creosote để quét các dự án dễ bị tấn công bởi CVE-2007-4559, sử dụng nó để phát hiện lỗ hổng trong IDE Spyder Python cũng như Polemarch.
“Không được kiểm soát, lỗ hổng này đã vô tình được thêm vào hàng trăm nghìn dự án mã nguồn mở và mã nguồn đóng trên toàn thế giới, tạo ra một bề mặt tấn công chuỗi cung ứng phần mềm đáng kể,” Douglas McKee lưu ý.
.
