Ranjivost otkrivena u jeziku kodiranja Python 2007. mogla bi se koristiti za izvršavanje koda u više od 350.000 projekata.
Python nedostatak je prisutan već petnaest godina
Nezakrpana greška u Python programski jezik sada predstavlja ozbiljnu prijetnju stotinama tisuća projekata. Ranjivost, poznata kao CVE-2007-4559, otkrivena je prije petnaest godina, ali se smatrala niskim rizikom i stoga nije zakrpana (iako je programerima izdano upozorenje o grešci).
Greška CVE-2007-4559 postoji unutar funkcija "extract" i "extractall" u Pythonovom modulu tarfile. To je greška u prelaženju putanje koja zlonamjernim akterima omogućuje brisanje proizvoljnih datoteka učitavanjem zlonamjerne tar datoteke. Ovaj tarfile se zatim može izvršiti, dajući zlonamjernom akteru kontrolu nad određenim uređajem.
Preko 350.000 projekata otvorenog i zatvorenog koda koji se protežu kroz niz industrija moglo bi se iskoristiti proizvoljnim prolaskom putanje pomoću ranjivosti CVE-2007-4559.
Ranjivost Pythona ponovno je otkrivena 2022
Ovu konkretnu Python ranjivost ponovno je otkrio početkom 2022. Trellixov istraživač ranjivosti Kasimir Schulz, iako je to učinjeno slučajno tijekom istraživanja drugog sigurnosnog problema. Schulz je vratio CVE-2007-4559 u središte pozornosti, iako se prvo mislilo da se radi o potpuno novom nulti dan mana. Ali ubrzo je otkriveno da je to zapravo dugogodišnja greška Pythona otkrivena prije petnaest godina.
Trellix je brzo objavio tweet obavještavajući ljude o propustu i njegovoj prijetnji projektima temeljenim na Pythonu.
Nakon ovog ponovnog otkrića, Trellix je napravio zakrpe za više od 11.000 projekata, iako se smatra da će još mnogo projekata dobiti zakrpe u nadolazećim tjednima. Trellix je također stvorio besplatni alat pod nazivom Creosote, koji se može koristiti za skeniranje prisutnosti ranjivosti CVE-2007-4559 tarfile.
CVE-2007-4559 Tek će se iskoristiti
Iako ovaj nedostatak jezika Python predstavlja značajnu prijetnju tisućama projekata, čini se da još nije iskorišten. Istraživači se nadaju da će projekti biti zakrpani prije nego zlonamjerni akteri mogu iskoristiti grešku, iako bi to moglo potrebno malo vremena, a lakoća iskorištavanja CVE-2007-4559 čini ga potencijalno velikim problemom u lancu opskrbe.
Ranjivosti i dalje predstavljaju prijetnju pojedincima i organizacijama
Istraživači i analitičari neprestano otkrivaju sigurnosne propuste, a kibernetički kriminalci ih žele iskoristiti prije nego što dobiju zakrpu. To će i dalje predstavljati problem u svim industrijama i vjerojatno će izazvati dodatne probleme u budućnosti. U slučaju CVE-2007-4559, Trellix želi projektima osigurati popravljeni kod što je prije moguće, tako da ovaj nedostatak ne mogu zloupotrijebiti zlonamjerni akteri.