Ranljivost, odkrita v kodirnem jeziku Python leta 2007, bi se lahko uporabila za izvajanje kode v več kot 350.000 projektih.
Napaka v Pythonu je prisotna že petnajst let
Nepopravljena napaka v Programski jezik Python zdaj resno ogroža več sto tisoč projektov. Ranljivost, znana kot CVE-2007-4559, je bila odkrita pred petnajstimi leti, vendar je veljala za majhno tveganje, zato ni bila popravljena (čeprav je bilo razvijalcem izdano opozorilo o napaki).
Napaka CVE-2007-4559 obstaja v funkcijah »extract« in »extractall« v Pythonovem modulu tarfile. Gre za napako pri prečkanju poti, ki zlonamernim akterjem omogoča, da prepišejo poljubne datoteke z nalaganjem zlonamerne datoteke tar. Ta tarfile se lahko nato izvede, kar zlonamernemu akterju omogoči nadzor nad dano napravo.
Več kot 350.000 odprtokodnih in zaprtokodnih projektov, ki se raztezajo v različnih panogah, je mogoče izkoristiti prek poljubnega prečkanja poti z uporabo ranljivosti CVE-2007-4559.
Ranljivost Pythona je bila ponovno odkrita leta 2022
To posebno ranljivost Pythona je v začetku leta 2022 ponovno odkril raziskovalec ranljivosti Trellixa Kasimir Schulz, čeprav je bilo to storjeno po naključju med raziskovanjem druge varnostne težave. Schulz je CVE-2007-4559 vrnil v središče pozornosti, čeprav se je najprej mislilo, da gre za popolnoma nov ničelni dan napaka. Toda kmalu je bilo ugotovljeno, da je to v resnici dolgotrajna napaka Pythona, odkrita pred petnajstimi leti.
Trellix je hitro objavil tvit, v katerem je ljudi obvestil o napaki in njeni grožnji projektom, ki temeljijo na Pythonu.
Po tem ponovnem odkritju je Trellix ustvaril popravke za več kot 11.000 projektov, čeprav naj bi v prihodnjih tednih prejelo popravek še veliko več projektov. Trellix je ustvaril tudi brezplačno orodje, imenovano Creosote, ki ga je mogoče uporabiti za skeniranje prisotnosti ranljivosti datoteke CVE-2007-4559.
CVE-2007-4559 Še ne bo izkoriščen
Čeprav ta jezikovna napaka Python predstavlja veliko grožnjo za tisoče projektov, se zdi, da še ni bila izkoriščena. Raziskovalci upajo, da bodo projekti popravljeni, preden zlonamerni akterji lahko izkoristijo napako, čeprav se to lahko zgodi vzeti nekaj časa, enostavnost izkoriščanja CVE-2007-4559 pa predstavlja potencialno veliko težavo v dobavni verigi.
Ranljivosti še naprej predstavljajo grožnjo tako posameznikom kot organizacijam
Varnostne ranljivosti nenehno odkrivajo raziskovalci in analitiki, kibernetski kriminalci pa jih želijo izkoristiti, preden prejmejo popravek. To bo še naprej skrb v vseh panogah in bo verjetno povzročilo dodatne težave v prihodnosti. V primeru CVE-2007-4559 si Trellix prizadeva projektom čim prej zagotoviti popravljeno kodo, tako da te napake ne morejo zlorabiti zlonamerni akterji.
