Una vulnerabilidad descubierta en el lenguaje de codificación Python en 2007 podría usarse para realizar la ejecución de código en más de 350 000 proyectos.
La falla de Python ha estado presente durante quince años
Una falla sin parchear en el Lenguaje de programación pitón ahora representa una seria amenaza para cientos de miles de proyectos. La vulnerabilidad, conocida como CVE-2007-4559, se descubrió hace quince años, pero se consideró de bajo riesgo y, por lo tanto, no se parchó (aunque se emitió una advertencia a los desarrolladores sobre la falla).
La falla CVE-2007-4559 existe dentro de las funciones "extraer" y "extraer todo" en el módulo tarfile de Python. Es un error de ruta transversal, que permite a los actores maliciosos sobrescribir archivos arbitrarios cargando un archivo tar malicioso. Este archivo tar se puede ejecutar, dando al actor malicioso el control de un dispositivo determinado.
Más de 350 000 proyectos de código abierto y cerrado que abarcan una variedad de industrias podrían explotarse a través de rutas cruzadas arbitrarias utilizando la vulnerabilidad CVE-2007-4559.
La vulnerabilidad de Python fue redescubierta en 2022
Esta vulnerabilidad particular de Python fue redescubierta a principios de 2022 por el investigador de vulnerabilidades de Trellix, Kasimir Schulz, aunque esto se hizo accidentalmente mientras investigaba otro problema de seguridad. Schulz volvió a poner de relieve a CVE-2007-4559, aunque al principio se pensó que se trataba de una versión completamente nueva. Día cero defecto. Pero pronto se descubrió que esta era, de hecho, la falla de Python de larga data descubierta quince años antes.
Trellix rápidamente hizo un tweet notificando a la gente sobre la falla y su amenaza para los proyectos basados en Python.
Después de este redescubrimiento, Trellix creó parches para más de 11 000 proyectos, aunque se cree que muchos más proyectos recibirán un parche en las próximas semanas. Trellix también ha creado una herramienta gratuita, llamada Creosote, que se puede utilizar para detectar la presencia de la vulnerabilidad del archivo tar CVE-2007-4559.
CVE-2007-4559 aún por explotar
Aunque esta falla del lenguaje Python representa una amenaza significativa para miles de proyectos, parece que aún no se ha explotado. Los investigadores esperan que los proyectos se parcheen antes de que los actores maliciosos puedan explotar la falla, aunque esto puede lleva algo de tiempo, y la facilidad de explotación de CVE-2007-4559 lo convierte en un problema potencialmente importante para la cadena de suministro.
Las vulnerabilidades siguen representando una amenaza tanto para las personas como para las organizaciones
Los investigadores y analistas descubren constantemente vulnerabilidades de seguridad, y los ciberdelincuentes están ansiosos por explotarlas antes de que reciban un parche. Esto seguirá siendo una preocupación en todas las industrias y probablemente cause más problemas en el futuro. En el caso de CVE-2007-4559, Trellix está ansioso por proporcionar a los proyectos un código reparado lo antes posible, para que los actores maliciosos no puedan abusar de esta falla.