Une vulnérabilité Python non corrigée de 15 ans permet l'exécution de code dans 350 000 projets

Plus de 350 000 dépôts open-source uniques sont considérés comme à risque de cyberattaques potentielles sur la chaîne d’approvisionnement en raison d’une vulnérabilité non corrigée de 15 ans dans le module tarfile de Python, qui est un module par défaut dans tout projet utilisant Python.

Actuellement, le module tarfile de Python est largement utilisé dans des frameworks créés par AWS, Facebook, Google, Intel et Netflix, ainsi que dans plusieurs secteurs tels que le développement de logiciels, l’intelligence artificielle/l’apprentissage automatique et le développement de code, mais aussi dans d’autres secteurs aussi divers que le développement web, la sécurité, la gestion informatique et les médias.

La vulnérabilité, suivie sous le nom de CVE-2007-4559 (score CVSS : 6.8), a été découverte il y a 15 ans. Ce défaut peut être exploité en téléchargeant un fichier malveillant généré avec deux ou trois lignes de code simples et permet aux attaquants d’exécuter du code arbitraire ou de prendre le contrôle d’un appareil cible.

Plus tôt cette année, CVE-2007-4559 a été redécouvert par un chercheur en vulnérabilités de Trellix, Kasimir Schulz, lors de l’examen d’un autre problème de sécurité.

« En enquêtant sur une vulnérabilité sans rapport, le Trellix Advanced Research Center est tombé sur une vulnérabilité dans le module tarfile de Python. Au départ, nous avons pensé avoir trouvé une nouvelle vulnérabilité zero-day. En approfondissant le problème, nous avons réalisé qu’il s’agissait en fait de CVE-2007-4559 », lit-on dans le post publié par la société de sécurité Trellix.

« La vulnérabilité est une attaque par traversée de chemin dans les fonctions extract et extractall du module tarfile qui permettent à un attaquant d’écraser des fichiers arbitraires en ajoutant la séquence “..” aux noms de fichiers dans une archive TAR. »

Bien que la vulnérabilité ait été initialement marquée comme 6.8, dans la plupart des cas, un attaquant peut obtenir l’exécution de code à partir de l’écriture de fichier. Dans la vidéo ci-dessous, Trellix montre comment ils ont pu obtenir l’exécution de code en exploitant Universal Radio Hacker :

Un attaquant peut exploiter le défaut en téléchargeant un tarfile malveillant d’une manière qui permet d’échapper au répertoire destiné à être extrait et d’atteindre l’exécution de code, permettant à l’adversaire de potentiellement prendre le contrôle d’un appareil cible.

« Pour qu’un attaquant puisse tirer parti de cette vulnérabilité, il doit ajouter “..” avec le séparateur pour le système d’exploitation (“/” ou “\”) dans le nom du fichier pour échapper au répertoire dans lequel le fichier est censé être extrait. Le module tarfile de Python nous permet de faire exactement cela : » continue le post.

« Le module tarfile permet aux utilisateurs d’ajouter un filtre qui peut être utilisé pour analyser et modifier les métadonnées d’un fichier avant qu’il ne soit ajouté à l’archive tar. Cela permet aux attaquants de créer leurs exploits avec aussi peu que les 6 lignes de code ci-dessus. »

« N’extrayez jamais d’archives provenant de sources non fiables sans inspection préalable », lit-on dans la documentation Python pour tarfile. « Il est possible que des fichiers soient créés en dehors du chemin, par exemple des membres ayant des noms de fichiers absolus commençant par ‘/’ ou des noms de fichiers avec deux points ‘..’. »

De plus, Trellix a publié un outil gratuit appelé Creosote pour scanner les projets vulnérables à CVE-2007-4559, l’utilisant pour découvrir la vulnérabilité cachée dans des applications comme Spyder Python IDE et Polemarch.

« Si elle n’est pas contrôlée, cette vulnérabilité a été ajoutée involontairement à des centaines de milliers de projets open-source et closed-source dans le monde entier, créant une surface d’attaque substantielle sur la chaîne d’approvisionnement logicielle », a noté Doug McKee, ingénieur principal et directeur de la recherche sur les vulnérabilités chez Trellix.