威脅檢測和響應(yīng)公司 Trellix 的研究人員發(fā)現(xiàn)了一個(gè)存在 15 年之久的 Python 漏洞，表明它比最初認(rèn)為的更嚴(yán)重，并且可能影響數(shù)十萬個(gè)應(yīng)用程序。有問題的漏洞是 CVE-2007-4559，最初被描述為 Python 的“tarfile”模塊中的目錄遍歷漏洞，該漏洞可允許攻擊者通過說服用戶處理特制的 tar 檔案來遠(yuǎn)程覆蓋任意文件。

該漏洞從未正確修補(bǔ)，而是警告用戶不要打開來自不受信任來源的存檔文件。通過對 GitHub 的標(biāo)準(zhǔn)公共訪問，能夠找到超過 300,000 個(gè)包含 Python 的 tarfile 模塊的文件，平均 61% 的文件容易受到 2022 年底的漏洞攻擊。聯(lián)系 GitHub 以查看是否我們可以更全面地了解這個(gè)存在 15 年之久的漏洞的足跡。在 GitHub 的合作下，能夠確定在大約 588,000 個(gè)獨(dú)特的存儲庫中大約有 287 萬個(gè)開源文件，其中包含 Python 的 tarfile 模塊。由于數(shù)據(jù)集很大，目前正在處理結(jié)果，然而，目前存在 61% 的易受攻擊實(shí)例，這使我們估計(jì)超過 350,000 個(gè)獨(dú)特的開源存儲庫將容易受到這種攻擊。這個(gè)開源代碼庫跨越了眾多行業(yè)。這些行業(yè)的概述可以在下面的圖表中看到，我們預(yù)計(jì)如果所有軟件的數(shù)據(jù)都可用，它會更廣泛。

Trellix 的研究人員現(xiàn)在表明，攻擊者可以利用該漏洞編寫任意文件，并在大多數(shù)情況下執(zhí)行惡意代碼。他們針對幾個(gè)使用易受攻擊的 Python 模塊的流行應(yīng)用程序證明了這一點(diǎn)，甚至展示了攻擊者如何使用社會工程在具有管理員權(quán)限的目標(biāo)系統(tǒng)上執(zhí)行任意代碼。

這家網(wǎng)絡(luò)安全公司發(fā)布了一個(gè)名為Creosote的開源工具，可用于掃描項(xiàng)目中是否存在此 tarfile 漏洞。使用此工具，他們掃描了公共 GitHub 存儲庫并發(fā)現(xiàn)了 300,000 個(gè)包含 tarfile 模塊的文件，其中大約 61%容易受到利用 CVE-2007-4559 的攻擊。

在 GitHub 的幫助下，他們進(jìn)行了更全面的掃描，在近 590,000 個(gè)獨(dú)特的存儲庫中識別出 287 萬個(gè)包含 tarfile 模塊的開源文件。如果其中 61% 易受攻擊，則受 CVE-2007-4559 影響的開源項(xiàng)目總數(shù)約為 350,000 個(gè)。其中包括開發(fā)、人工智能/機(jī)器學(xué)習(xí)、網(wǎng)絡(luò)、數(shù)據(jù)科學(xué)、IT 管理和其他行業(yè)的組織制作的應(yīng)用程序。

此外，研究人員指出，有問題的模塊也存在于許多閉源項(xiàng)目中。

Trellix說：“這個(gè)漏洞非常容易利用，幾乎不需要了解復(fù)雜的安全主題。由于這一事實(shí)以及該漏洞在野外普遍存在，Python 的 tarfile 模塊已成為威脅全球基礎(chǔ)設(shè)施的巨大供應(yīng)鏈問題。”