Zraniteľnosť bola objavená v programovacom jazyku Python už v roku 2007 a dala sa už vtedy použiť na spúšťanie ľubovoľného kódu vo viac ako 350 000 projektoch.

Chyba v jazyku Python je prítomná už pätnásť rokov

Doposiaľ neopravená chyba v programovacom jazyku Python v súčasnosti predstavuje vážnu hrozbu pre státisíce projektov. Zraniteľnosť, známa ako CVE-2007-4559, bola objavená už pred pätnástimi rokmi, ale považovala sa za málo rizikovú, a preto nebola doposiaľ vôbec opravená hoci bolo vydané varovanie pre vývojárov pred touto chybou.

Chyba CVE-2007-4559 sa vyskytuje vo funkciách extract a  extractall  v module tarfile jazyka Python. Ide o chybu v prechádzaní ciest, ktorá umožňuje záškodníkom prepísať ľubovoľné súbory nahraním škodlivého tarfile. Tento tarfile sa potom môže spustiť, čím útočník získa kontrolu nad daným zariadením.

Viac ako 350 000 projektov s otvoreným a uzavretým zdrojovým kódom, ktoré sa vzťahujú na rôzne odvetvia, by mohlo byť zneužitých prostredníctvom ľubovoľného prechodu cez cestu pomocou chyby CVE-2007-4559.

Zraniteľnosť Pythonu bola znovu objavená v roku 2022

Túto konkrétnu zraniteľnosť jazyka Python znovu objavil začiatkom roka 2022 výskumník zraniteľností spoločnosti Trellix Kasimir Schulz, hoci sa tak stalo náhodne pri skúmaní iného bezpečnostného problému. Schulz vrátil CVE-2007-4559 do centra pozornosti, hoci sa najprv predpokladalo, že ide o úplne novú chybu nultého dňa. Čoskoro sa však zistilo, že v skutočnosti ide o dlhodobú chybu v jazyku Python, ktorá bola objavená pred pätnástimi rokmi.

Trellix rýchlo zverejnil tweet, v ktorom upozornil na túto chybu a jej hrozbu pre projekty založené na jazyku Python.

CVE-2007-4559 - the 15-year-old gift that keeps on giving. ????

While originally marked as 6.8, Trellix Advanced Research Center (@TrellixLabs) confirmed this vuln still enables attackers to gain code execution through an arbitrary file write. https://t.co/n8zGeoORtN

— Trellix (@Trellix) September 21, 2022

Po tomto opätovnom objavení spoločnosť Trellix vytvorila záplaty pre viac ako 11 000 projektov, pričom sa predpokladá, že v najbližších týždňoch dostane záplatu oveľa viac projektov. Spoločnosť Trellix vytvorila aj bezplatný nástroj Creosote, ktorý možno použiť na kontrolu prítomnosti zraniteľnosti CVE-2007-4559 v súboroch tarfile.

CVE-2007-4559 ešte doposiaľ nebola zneužitá - zatiaľ

Hoci táto chyba jazyka Python predstavuje významnú hrozbu pre tisíce projektov, zdá sa, že zatiaľ nebola zneužitá. Výskumníci dúfajú, že projekty budú opravené skôr, ako budú môcť túto chybu zneužiť škodcovia, hoci to môže nejaký čas trvať a jednoduchosť zneužitia CVE-2007-4559 z nej robí potenciálne veľký problém pre dodávateľský reťazec.

Zraniteľnosti naďalej predstavujú hrozbu pre jednotlivcov aj organizácie

Výskumníci a analytici neustále objavujú bezpečnostné zraniteľnosti a kyberzločinci ich chcú zneužiť skôr, ako sa na ne dostane záplata. To bude naďalej predstavovať problém vo všetkých odvetviach a v budúcnosti pravdepodobne spôsobí ďalšie problémy. V prípade CVE-2007-4559 chce spoločnosť Trellix čo najskôr poskytnúť projektom opravený kód, aby túto chybu nemohli zneužiť potencionálny útočníci.