15 Jahre alter unpatchter Python-Bug ermöglicht Codeausführung in 350.000 Projekten

Über 350.000 einzigartige Open-Source-Repositorys gelten als potenziell gefährdet durch mögliche Cyberangriffe auf die Lieferkette aufgrund einer unpatchten 15 Jahre alten Schwachstelle im tarfile-Modul von Python, das ein Standardmodul in jedem Projekt ist, das Python verwendet.

Derzeit ist das Python tarfile-Modul umfangreich in Frameworks zu finden, die von AWS, Facebook, Google, Intel und Netflix erstellt wurden, sowie in mehreren Branchen wie Softwareentwicklung, künstlicher Intelligenz/Maschinenlernen und Codeentwicklung, aber auch in anderen Sektoren wie Webentwicklung, Sicherheit, IT-Management und Medien.

Die Schwachstelle, die als CVE-2007-4559 (CVSS-Score: 6.8) verfolgt wird, wurde vor 15 Jahren entdeckt. Dieser Fehler kann ausgenutzt werden, indem eine bösartige Datei hochgeladen wird, die mit zwei oder drei Zeilen einfacher Code generiert wurde, und ermöglicht Angreifern die Ausführung beliebigen Codes oder die Kontrolle eines Zielgeräts.

Anfang dieses Jahres wurde CVE-2007-4559 erneut von einem Trellix-Sicherheitsforscher, Kasimir Schulz, entdeckt, während er ein anderes Sicherheitsproblem untersuchte.

„Während wir eine nicht verwandte Schwachstelle untersuchten, stieß das Trellix Advanced Research Center auf eine Schwachstelle im tarfile-Modul von Python. Zunächst dachten wir, wir hätten eine neue Zero-Day-Schwachstelle gefunden. Als wir das Problem näher untersuchten, erkannten wir, dass es sich in der Tat um CVE-2007-4559 handelte“, heißt es in dem Beitrag, der von der Sicherheitsfirma Trellix veröffentlicht wurde.

„Die Schwachstelle ist ein Pfadübergreifungsangriff in den Funktionen extract und extractall im tarfile-Modul, der es einem Angreifer ermöglicht, beliebige Dateien zu überschreiben, indem er die „..“-Sequenz zu Dateinamen in einem TAR-Archiv hinzufügt.“

Obwohl die Schwachstelle ursprünglich nur mit 6.8 bewertet wurde, kann ein Angreifer in den meisten Fällen durch den Dateischreibvorgang Codeausführung erlangen. Im folgenden Video zeigt Trellix, wie sie durch die Ausnutzung von Universal Radio Hacker zur Codeausführung gelangen konnten:

Ein Angreifer kann die Schwachstelle ausnutzen, indem er eine bösartige tarfile hochlädt, die es ermöglicht, das Verzeichnis zu verlassen, in das sie extrahiert werden soll, und die Codeausführung zu erreichen, wodurch der Gegner möglicherweise die Kontrolle über ein Zielgerät übernehmen kann.

„Damit ein Angreifer diese Schwachstelle ausnutzen kann, muss er „..“ mit dem Trennzeichen für das Betriebssystem („/“ oder „\“) in den Dateinamen einfügen, um das Verzeichnis zu verlassen, in das die Datei extrahiert werden soll. Das tarfile-Modul von Python ermöglicht genau dies:“, fährt der Beitrag fort.

„Das tarfile-Modul ermöglicht es Benutzern, einen Filter hinzuzufügen, der verwendet werden kann, um die Metadaten einer Datei zu analysieren und zu ändern, bevor sie dem tar-Archiv hinzugefügt wird. Dies ermöglicht es Angreifern, ihre Exploits mit nur 6 Zeilen des oben genannten Codes zu erstellen.“

„Extrahieren Sie niemals Archive aus nicht vertrauenswürdigen Quellen ohne vorherige Überprüfung“, heißt es in der Python-Dokumentation für tarfile. „Es ist möglich, dass Dateien außerhalb des Pfades erstellt werden, z. B. Mitglieder, die absolute Dateinamen haben, die mit ‚/‘ beginnen, oder Dateinamen mit zwei Punkten ‚..‘.“

Darüber hinaus hat Trellix ein kostenloses Tool namens Creosote veröffentlicht, um nach Projekten zu scannen, die anfällig für CVE-2007-4559 sind, und es zu verwenden, um die Schwachstelle in Anwendungen wie Spyder Python IDE und Polemarch aufzudecken.

„Wenn diese Schwachstelle unentdeckt bleibt, wurde sie unbeabsichtigt in Hunderttausende von Open- und Closed-Source-Projekten weltweit eingefügt, was eine erhebliche Angriffsfläche für Software-Lieferkettenangriffe schafft“, bemerkte Doug McKee, Principal Engineer und Director of Vulnerability Research bei Trellix.