Un bug Python non corretto di 15 anni consente l'esecuzione di codice in 350.000 progetti

Oltre 350.000 repository open-source unici sono ritenuti a rischio di potenziali attacchi informatici alla catena di fornitura a causa di una vulnerabilità non corretta di 15 anni nel modulo tarfile di Python, che è un modulo predefinito in qualsiasi progetto che utilizza Python.

Attualmente, il modulo tarfile di Python è ampiamente utilizzato in framework creati da AWS, Facebook, Google, Intel e Netflix, così come in diversi settori come lo sviluppo software, l’intelligenza artificiale/apprendimento automatico e lo sviluppo di codice, ma anche in altri settori diversi come lo sviluppo web, la sicurezza, la gestione IT e i media.

La vulnerabilità, tracciata come CVE-2007-4559 (punteggio CVSS: 6.8), è stata scoperta 15 anni fa. Questo difetto può essere sfruttato caricando un file dannoso generato con due o tre righe di codice semplice e consente agli attaccanti di eseguire codice arbitrario o di controllare un dispositivo target.

All’inizio di quest’anno, CVE-2007-4559 è stata riscoperta nuovamente da un ricercatore di vulnerabilità di Trellix, Kasimir Schulz, mentre indagava su un altro problema di sicurezza.

“Durante l’indagine su una vulnerabilità non correlata, il Trellix Advanced Research Center si è imbattuto in una vulnerabilità nel modulo tarfile di Python. Inizialmente, pensavamo di aver trovato una nuova vulnerabilità zero-day. Man mano che approfondivamo la questione, ci siamo resi conto che si trattava in realtà di CVE-2007-4559,” si legge nel post pubblicato dalla società di sicurezza Trellix.

”La vulnerabilità è un attacco di traversata di percorso nelle funzioni extract e extractall nel modulo tarfile che consente a un attaccante di sovrascrivere file arbitrari aggiungendo la sequenza “..” ai nomi dei file in un archivio TAR.”

Sebbene la vulnerabilità fosse originariamente contrassegnata solo come 6.8, tuttavia, nella maggior parte dei casi un attaccante può ottenere l’esecuzione di codice dalla scrittura del file. Nel video qui sotto, Trellix mostra come sono stati in grado di ottenere l’esecuzione di codice sfruttando Universal Radio Hacker:

Un attaccante può sfruttare il difetto caricando un tarfile dannoso in un modo che rende possibile sfuggire alla directory destinata ad essere estratta e ottenere l’esecuzione di codice, consentendo all’avversario di potenzialmente prendere il controllo di un dispositivo target.

“Per un attaccante per approfittare di questa vulnerabilità, deve aggiungere “..” con il separatore per il sistema operativo (“/” o “\”) nel nome del file per sfuggire alla directory in cui il file dovrebbe essere estratto. Il modulo tarfile di Python ci consente di fare esattamente questo:” continua il post.

“Il modulo tarfile consente agli utenti di aggiungere un filtro che può essere utilizzato per analizzare e modificare i metadati di un file prima che venga aggiunto all’archivio tar. Questo consente agli attaccanti di creare le loro exploit con solo 6 righe di codice sopra.”

“Non estrarre mai archivi da fonti non affidabili senza un’ispezione preventiva,” recita la documentazione di Python per tarfile. “È possibile che i file vengano creati al di fuori del percorso, ad esempio membri che hanno nomi di file assoluti che iniziano con ‘/’ o nomi di file con due punti ‘..’.”

Inoltre, Trellix ha rilasciato uno strumento gratuito chiamato Creosote per scansionare progetti vulnerabili a CVE-2007-4559, utilizzandolo per scoprire la vulnerabilità che si nasconde in applicazioni come Spyder Python IDE e Polemarch.

“Se lasciata incontrollata, questa vulnerabilità è stata aggiunta involontariamente a centinaia di migliaia di progetti open e closed-source in tutto il mondo, creando una superficie di attacco sostanziale per la catena di fornitura software,” ha osservato Doug McKee, Ingegnere Principale e Direttore della ricerca sulle vulnerabilità di Trellix.