Python開源編程語言中一個15年前的漏洞在許多地方仍未修補，因此得以蔓延到全球成千上萬個開源和閉源項目。研究人員警告，這無意中構成了一條大范圍易受攻擊的軟件供應鏈，大多數受影響的組織還蒙在鼓里。

Trellix高級研究中心的分析師發現，一個與路徑遍歷相關的漏洞被編號為CVE-2007-4559，目前在350000多個獨特的開源代碼存儲庫中仍未修補，導致應用軟件容易被利用。

首席工程師兼漏洞研究主管Douglas McKee在9月21日發表的博文中表示，這個有問題的代碼庫存在于遍布眾多行業的軟件中，主要是軟件開發、人工智能/機器學習和代碼開發等領域，還包括安全、IT管理和媒體等諸多領域。

研究人員表示，Python tarfile模塊還存在于任何使用Python的項目的一個默認模塊中，目前廣泛出現在AWS、Facebook、谷歌、英特爾和Netflix開發的框架中，以及用于機器學習、自動化和Docker容器化的應用程序中。

研究人員表示，雖然該漏洞讓攻擊者可以逃離目錄（文件應該被解壓到該目錄），但攻擊者也可以利用該漏洞執行惡意代碼。

McKee說：“今天，這個未加制止的漏洞被無意中添加到全球成千上萬開源和閉源項目中，留下了巨大的軟件供應鏈攻擊面。”

新問題，舊漏洞

McKee在博文中寫道，Trellix的研究人員最近發現Python的tarfile模塊沒有合理檢查企業設備中的路徑遍歷漏洞后，以為無意中發現了一個新的Python零日漏洞。不過他們很快就意識到，這個漏洞是之前就已發現的。

進一步深挖及后來得到GitHub的合作后發現，大約287萬個開源文件含有Python的tarfile模塊，該模塊出現在大約588000個獨特的代碼存儲庫中。Trellix分析后發現，這些實例中約61%易受攻擊，研究人員憑此估計目前有350000個易受攻擊的Python代碼存儲庫。

在開源界，找不到可以責怪的對象

該漏洞在整個軟件界蔓延這么久、卻未加制止有諸多原因；然而McKee特別指出，將具體責任歸咎于Python項目、該項目的眾多維護者或任何使用該平臺的開發人員有失公允。

他寫道：“首先應明確一點，造成CVE-2007-4559目前的這種狀態，不該歸咎于任何一方、組織或個人，但無論如何我們都有責任。”

McKee表示，由于Python之類的開源項目由一群志愿者而不是一個聯合組織（以及非營利基金會）運行和維護，因此更難及時跟蹤和修復已知的問題。此外，庫或軟件開發工具包……將安全地使用API視為開發人員的一部分責任并不少見。

的確，Python在tarfile函數的文檔中就使用它的風險發出了警告，明確告誡開發人員：由于目錄遍歷問題，永遠不要“在沒有事先檢查的情況下解壓來源不明的存檔”。

McKee表示，雖然警告是邁出的“積極一步”，提醒人們注意該問題，但顯然沒有阻止漏洞持續存在，因為仍需要由使用該代碼庫的開發人員確保自己構建的軟件是安全的。

他補充道，使問題更嚴重的是，大多數為開發人員提供的關于如何使用該平臺模塊的Python教程并沒有清楚地表明如何避免tarfile 模塊的不安全使用，包括Python自己的文檔以及utorialspoint、geeksforgeeks和askpython.com等流行網站。

McKee特別指出，這種差異使得該漏洞被編寫到整條供應鏈中，這個趨勢可能會延續數年，除非對這個問題有更廣泛的認識。

利用漏洞“異常容易”

在技術方面，CVE-2007-4559是Python的tarfile模塊中的路徑遍歷攻擊，它讓攻擊者可以通過為TAR存檔的文件名添加“..”序列來覆蓋任意文件。

Trellix漏洞研究人員Charles McFarland在周三發表的關于該問題的另一篇博文中特別指出，這個實際漏洞源自使用未凈化處理的tarfile.extract()或tarfile.extractall()的內置默認值的兩三行代碼。

他寫道：“未編寫在調用tarfile.extract()或tarfile.extractall()之前凈化處理成員文件的任何安全代碼導致了目錄遍歷漏洞，從而使不法分子能夠訪問文件系統。”

攻擊者要利用該漏洞，就需要為文件名添加帶有操作系統分隔符（“/”或“\”）的“..”，以逃離目錄（文件本該被解壓到該目錄）。Python的tarfile模塊讓開發人員恰好可以做到這點。

這個廣泛的Python tarfile漏洞浮出水面，實際上得益于Trellix漏洞研究實習生Kasimir Schulz對另一個問題開展的研究。周三他發表了第三篇獨立的Trellix博文，詳細描述了利用CVE-2007-4559多么“異常容易”。

Schulz在博文中解釋，Python中的Tarfile包含多個不同的文件和元數據，元數據后來用于解壓縮tarfile本身。TAR存檔文件中包含的元數據包括但不限于文件名、文件大小和校驗和之類的信息以及文件存檔時有關文件所有者的信息。

Schulz寫道：“tarfile模塊讓用戶可以添加過濾器，過濾器可用于在文件的元數據添加到TAR存檔之前解析和修改該元數據。”這使攻擊者能夠用短短六行代碼即可創建漏洞利用工具。

Schulz在博文中繼續詳細解釋了他如何使用該漏洞和一個名為Creosote的定制腳本（該腳本可搜遍目錄，掃描并分析Python文件），在Spyder IDE中執行惡意代碼。Spyder是一個免費的開源科學環境，為Python編寫，可以在Windows和macOS上運行

聚焦供應鏈

tarfile問題再次凸顯了軟件供應鏈這一攻擊面。由于攻擊者可以通過攻擊存在于多個平臺和企業環境中的有缺陷代碼造成廣泛影響，這個攻擊面近年來越來越惹人矚目。這可用于大大擴大惡意活動的影響，無需威脅分子多花力氣。

供應鏈遭到這些類型的攻擊此前已有很多例子，如今臭名昭著的SolarWinds和Log4J場景就最為知名。前者始于2020年12月下旬，SolarWinds Orion軟件遭到破壞，這一事件蔓延到次年，眾多組織遭到多起攻擊。后一起事件始于2021年12月上旬，在廣泛使用的Java日志工具中發現了一個名為Log4Shell的漏洞，該漏洞引發了另外多個漏洞，導致數百萬應用程序易受攻擊，其中許多應用程序至今仍未修補。

最近，攻擊者已經開始嘗到直接攻擊開源代碼存儲庫以植入他們自己的惡意代碼帶來的甜頭，這些代碼可以在以后被用來攻擊供應鏈。事實上，Python項目已經發現自己被盯上了。

8月底，攻擊者針對Python包索引（PyPI）的用戶發動了首起網絡釣魚攻擊，旨在竊取用戶的憑據，那樣威脅分子就可以將中招的軟件包加載到代碼存儲庫中。8月早些時候，在一家安全供應商警告威脅分子將惡意代碼嵌入到軟件包安裝腳本后，PyPI已經從注冊庫刪除了10 個惡意代碼包。

本文翻譯自：https://www.darkreading.com/application-security/15-year-old-python-flaw-software-worldwide如若轉載，請注明原文地址。