Onderzoekers van Trellix hebben bijna 62.000 open-source projecten gepatcht in reactie op een vijftien jaar oude Python-kwetsbaarheid.
De bug (CVE-2007-4559) werd eind vorig jaar door het team van Trellix ontdekt in de tarfile-module van Python. De kwetsbaarheid liep oorspronkelijk in 2007 tegen de lamp, maar kreeg toentertijd weinig aandacht omdat het risico als laag werd gezien.
Sindsdien is de dreiging toegenomen. De bug raakt naar verluidt 350.000 open-source softwareprojecten en talloze closed-source softwareprojecten. Kasimir Schulz, onderzoeker bij Trellix Threat Labs, beschreef de vondst in een blog post.
“Tijdens het onderzoeken van een ongerelateerde kwetsbaarheid stuitte het Trellix Advanced Research Center op een kwetsbaarheid in de tarfile-module van Python. Aanvankelijk dachten we dat we een nieuwe zero-day kwetsbaarheid hadden gevonden. Toen we ons in het probleem verdiepten, realiseerden we ons dat dit in feite CVE-2007-4559 was.”
De kwetsbaarheid is aanwezig in de ‘extract’- en ‘extractall’-functies van de tarfile module. Het probleem stelt aanvallers in staat om willekeurige bestanden te overschrijven door de “..”-sequentie toe te voegen aan bestandsnamen in een TAR-archief.
Supply chain
Het team van Trellix gebruikte trefwoorden om GitHub repositories te vinden met sporen van de kwetsbaarheid. De repositories werden gekloond en geanalyseerd met Creosote, een vulnerability scanning tool.
“Na het analyseren van bestanden drukt Creosote alle bestanden af die mogelijk kwetsbaarheden bevatten. Dergelijke bestanden worden in drie categorieën gesorteerd op basis van betrouwbaarheidsniveau (kwetsbaar, waarschijnlijk kwetsbaar en potentieel Kwetsbaar)”, legde Shulz uit.
Vervolgens verving het team de kwetsbare bestanden met gepatchte bestanden. “De kwetsbaarheid is ongelooflijk eenvoudig te misbruiken. Aanvallers hebben geen tot weinig kennis nodig van ingewikkelde security-onderwerpen”, aldus Shulz.