El error de Python sin corregir de 15 años permite que el código se ejecute en más de 350,000 proyectos

La vulnerabilidad del código Python de quince años amenaza a más de 350.000 proyectos.

Una vulnerabilidad descubierta en el lenguaje de codificación Python en 2007 podría usarse para efectuar la ejecución de código en más de 350 000 proyectos.

Python Flaw existe desde hace quince años

Una falla sin parchear en el lenguaje de programación Python ahora representa una seria amenaza para cientos de miles de proyectos. La vulnerabilidad, conocida como CVE-2007-4559, se descubrió hace quince años, pero se consideró de bajo riesgo y, por lo tanto, no se ha reparado (aunque se emitió una advertencia a los desarrolladores sobre la falla).

La falla CVE-2007-4559 existe en las funciones «extraer» y «extraer todo» del módulo tarfile de Python. Este es un error de cruce de ruta, que permite a los actores maliciosos sobrescribir archivos arbitrarios cargando un archivo tar malicioso. Este archivo tar se puede ejecutar, dando al actor malicioso el control de un dispositivo determinado.

Más de 350 000 proyectos de código abierto y de código cerrado que abarcan una variedad de industrias podrían explotarse a través de rutas cruzadas arbitrarias utilizando la vulnerabilidad CVE-2007-4559.

Vulnerabilidad de Python fue redescubierta en 2022

Esta vulnerabilidad particular de Python fue redescubierta a principios de 2022 por el investigador de vulnerabilidades de Trellix Kasimir Schulz, aunque se hizo accidentalmente mientras investigaba otro problema de seguridad. Schulz volvió a poner de relieve a CVE-2007-4559, aunque inicialmente se pensó que era una nueva falla de día cero. Pero pronto se descubrió que, de hecho, se trataba de la antigua falla de Python descubierta quince años antes.

Trellix publicó rápidamente un tweet informando a las personas sobre la falla y su amenaza para los proyectos basados ​​en Python.

Después de este redescubrimiento, Trellix ha creado correcciones para más de 11 000 proyectos, aunque se espera que muchos más proyectos reciban una corrección en las próximas semanas. Trellix también ha creado una herramienta gratuita, llamada Creosote, que se puede utilizar para detectar la presencia de la vulnerabilidad del archivo tar CVE-2007-4559.

CVE-2007-4559 Todavía por explotar

Aunque esta falla en el lenguaje Python representa una amenaza significativa para miles de proyectos, no parece haber sido explotada todavía. Los investigadores esperan que los proyectos se parcheen antes de que los actores malintencionados puedan explotar la falla, aunque puede llevar algo de tiempo, y la facilidad de explotación de CVE-2007-4559 lo convierte en un problema potencial de la cadena de suministro enorme.

Las vulnerabilidades continúan representando una amenaza para las personas y las organizaciones.

Los investigadores y analistas descubren constantemente vulnerabilidades de seguridad, y los ciberdelincuentes están ansiosos por explotarlas antes de recibir una solución. Esto seguirá siendo una preocupación en todas las industrias y probablemente generará más problemas en el futuro. En el caso de CVE-2007-4559, Trellix está interesado en proporcionar proyectos con código fijo lo antes posible, para que esta falla no pueda ser aprovechada por actores malintencionados.