Estima-se que cerca de350 mil projetos de código aberto sejam potencialmente vulneráveis, resultado de uma falha de segurança em um módulo Python que permaneceu sem correção por “apenas” 15 anos.
Os repositórios de código aberto abrangem diversos setores da indústria, como o desenvolvimento de software, inteligência artificial/aprendizado de máquina, desenvolvimento da Web, meios de comunicação, segurança e gestão de TI.
Leia mais:
- O que é e para que serve o Python?
- Confira quando será o Python Brasil 2021; evento reúne desenvolvedores, cientistas e entusiastas de tecnologia
- Google Cloud doa US$ 350 mil para projetos da Python Software Foundation
Essa falha, nomeada de CVE-2007-4559 (pontuação CVSS: 6,8), está fixada no módulo tarfile, cuja exploração bem-sucedida pode levar à execução de código a partir de uma gravação de arquivo desnecessária.
“A vulnerabilidade é um ataque de caminho percorrido nas funções de extração e extração no módulo tarfile que permitem que um invasor sobrescreva arquivos arbitrários adicionando a sequência ‘..’ aos nomes de arquivos em um arquivo TAR”, afirmou o pesquisador de segurança da Trellix, Kasimir Schulz , em comunicado.
Esse bug foi divulgado primeiramente em agosto de 2007, e está relacionado com um arquivo TAR que pode ser aproveitado para substituir arquivos desnecessários em uma ‘máquina alvo’ simplesmente ao abrir o arquivo.
De maneira simples, uma ameaça pode explorar a vulnerabilidade fazendo upload de um arquivo TAR malicioso de modo que possibilite escapar do diretório para o qual um arquivo deve ser extraído e obter a execução do código, permitindo que o invasor assuma o controle de um dispositivo-alvo.
“Nunca extraia arquivos de fontes não confiáveis sem inspeção prévia”, a documentação do Python para tarfile diz . “É possível que os arquivos sejam criados fora do caminho, por exemplo, membros que têm nomes de arquivos absolutos começando com ‘/’ ou nomes de arquivos com dois pontos ‘..’.”
Essa vulnerabilidade lembra uma falha de segurança divulgada recentemente no utilitário UnRAR do RARlab (CVE-2022-30333) que pode levar à execução remota de código.
A Trellix lançou ainda um utilitário personalizado chamado Creosote para verificar projetos vulneráveis ao CVE-2007-4559, usando-o para descobrir a falha no Spyder Python IDE, bem como no Polemarch.
“Deixada desmarcada, essa vulnerabilidade foi adicionada involuntariamente a centenas de milhares de projetos de código aberto e fechado em todo o mundo, criando uma área de ataque substancial na cadeia de suprimentos de software”, observou Douglas McKee, Engenheiro e Director de Investigação de Vulnerabilidade daTrellix.
Via: The Hacker News
Já assistiu aos nossos novos vídeos no YouTube? Inscreva-se no nosso canal!
Tags: