Una vulnerabilità scoperta nel linguaggio di codifica Python nel 2007 potrebbe essere utilizzata per eseguire l'esecuzione di codice in oltre 350.000 progetti.
Python Flaw è presente da quindici anni
Un difetto senza patch nel file Linguaggio di programmazione Python ora rappresenta una seria minaccia per centinaia di migliaia di progetti. La vulnerabilità, nota come CVE-2007-4559, è stata scoperta quindici anni fa ma era considerata a basso rischio e quindi non è stata corretta (sebbene sia stato inviato un avviso agli sviluppatori in merito al difetto).
Il difetto CVE-2007-4559 esiste all'interno delle funzioni "extract" e "extractall" nel modulo tarfile di Python. È un bug di path traversal, che consente agli attori malintenzionati di sovrascrivere file arbitrari caricando un tarfile dannoso. Questo tarfile può quindi essere eseguito, dando all'attore malintenzionato il controllo di un determinato dispositivo.
Oltre 350.000 progetti open source e closed source che abbracciano una vasta gamma di settori potrebbero essere sfruttati tramite un percorso arbitrario attraverso la vulnerabilità CVE-2007-4559.
La vulnerabilità di Python è stata riscoperta nel 2022
Questa particolare vulnerabilità di Python è stata riscoperta all'inizio del 2022 dal ricercatore di vulnerabilità di Trellix Kasimir Schulz, sebbene ciò sia stato fatto accidentalmente durante le indagini su un altro problema di sicurezza. Schulz ha riportato CVE-2007-4559 sotto i riflettori, anche se inizialmente si pensava che fosse un prodotto completamente nuovo giorno zero difetto. Ma si scoprì presto che si trattava, in realtà, del difetto di lunga data di Python scoperto quindici anni prima.
Trellix ha rapidamente fatto un tweet notificando alle persone il difetto e la sua minaccia per i progetti basati su Python.
Dopo questa riscoperta, Trellix ha creato patch per oltre 11.000 progetti, anche se si pensa che molti altri progetti riceveranno una patch nelle prossime settimane. Trellix ha anche creato uno strumento gratuito, chiamato Creosote, che può essere utilizzato per cercare la presenza della vulnerabilità del file tarfile CVE-2007-4559.
CVE-2007-4559 Ancora da sfruttare
Sebbene questo difetto del linguaggio Python rappresenti una minaccia significativa per migliaia di progetti, sembra che non sia stato ancora sfruttato. I ricercatori sperano che i progetti vengano corretti prima che gli attori malintenzionati possano sfruttare il difetto, sebbene ciò possa accadere richiede del tempo e la facilità di sfruttamento di CVE-2007-4559 lo rende un problema potenzialmente enorme per la catena di approvvigionamento.
Le vulnerabilità continuano a rappresentare una minaccia sia per gli individui che per le organizzazioni
Le vulnerabilità della sicurezza vengono costantemente scoperte da ricercatori e analisti, con i criminali informatici desiderosi di sfruttarle prima di ricevere una patch. Ciò continuerà a rappresentare una preoccupazione per tutti i settori e probabilmente causerà ulteriori problemi in futuro. Nel caso di CVE-2007-4559, Trellix è ansioso di fornire ai progetti il codice riparato il prima possibile, in modo che questo difetto non possa essere sfruttato da malintenzionati.