Uma vulnerabilidade descoberta na linguagem de codificação Python em 2007 pode ser usada para conduzir a execução de código em mais de 350.000 projetos.
A falha do Python está presente há quinze anos
Uma falha não corrigida no Linguagem de programação Python agora representa uma séria ameaça para centenas de milhares de projetos. A vulnerabilidade, conhecida como CVE-2007-4559, foi descoberta quinze anos atrás, mas foi considerada de baixo risco e, portanto, não foi corrigida (embora um aviso tenha sido emitido aos desenvolvedores sobre a falha).
A falha CVE-2007-4559 existe nas funções “extract” e “extractall” no módulo tarfile do Python. É um bug de path traversal, que permite que atores mal-intencionados sobrescrevam arquivos arbitrários carregando um arquivo tar malicioso. Este arquivo tar pode então ser executado, dando ao ator mal-intencionado o controle de um determinado dispositivo.
Mais de 350.000 projetos de código aberto e fechado abrangendo uma variedade de setores podem ser explorados por caminho arbitrário usando a vulnerabilidade CVE-2007-4559.
A vulnerabilidade do Python foi redescoberta em 2022
Essa vulnerabilidade específica do Python foi redescoberta no início de 2022 pelo pesquisador de vulnerabilidades da Trellix, Kasimir Schulz, embora isso tenha sido feito acidentalmente durante a investigação de outro problema de segurança. Schulz trouxe o CVE-2007-4559 de volta aos holofotes, embora inicialmente se pensasse que era um dia zero imperfeição. Mas logo foi descoberto que essa era, de fato, a falha de longa data do Python descoberta quinze anos antes.
Trellix rapidamente fez um tweet notificando as pessoas sobre a falha e sua ameaça aos projetos baseados em Python.
Após essa redescoberta, a Trellix criou patches para mais de 11.000 projetos, embora muitos outros projetos recebam um patch nas próximas semanas. A Trellix também criou uma ferramenta gratuita, chamada Creosote, que pode ser usada para verificar a presença da vulnerabilidade tarfile CVE-2007-4559.
CVE-2007-4559 ainda a ser explorado
Embora essa falha da linguagem Python represente uma ameaça significativa para milhares de projetos, ela parece ainda não ter sido explorada. Os pesquisadores esperam que os projetos sejam corrigidos antes que agentes mal-intencionados possam explorar a falha, embora isso possa leva algum tempo, e a facilidade de exploração do CVE-2007-4559 o torna um problema potencialmente enorme na cadeia de suprimentos.
Vulnerabilidades continuam a representar uma ameaça para indivíduos e organizações
Vulnerabilidades de segurança são constantemente descobertas por pesquisadores e analistas, com cibercriminosos ansiosos para explorá-las antes de receberem um patch. Isso continuará a ser uma preocupação em todos os setores e provavelmente causará mais problemas no futuro. No caso do CVE-2007-4559, a Trellix está ansiosa para fornecer aos projetos o código reparado o mais rápido possível, para que essa falha não seja abusada por agentes mal-intencionados.
