On beş yıllık bir Python kodu güvenlik açığı, 350.000’den fazla projeye tehdit oluşturuyor.

Python kodlama dilinde 2007 yılında keşfedilen bir güvenlik açığı, 350.000’den fazla projede kod yürütme yapmak için kullanılabilir.

Python Kusurları On Beş Yıldır Ortada

Python programlama dilindeki yamalanmamış bir kusur, şimdi yüz binlerce proje için ciddi bir tehdit oluşturuyor. CVE-2007-4559 olarak bilinen güvenlik açığı on beş yıl önce keşfedildi, ancak düşük riskli olarak kabul edildi ve bu nedenle yama yapılmadı (buna rağmen geliştiricilere kusur hakkında bir uyarı verildi).

CVE-2007-4559 kusuru, Python’un tarfile modülündeki “extract” ve “extractall” işlevlerinde bulunur. Kötü niyetli aktörlerin kötü niyetli bir tarfile yükleyerek rastgele dosyaların üzerine yazmasına izin veren bir yol geçiş hatasıdır. Bu tar dosyası daha sonra yürütülebilir ve kötü niyetli aktöre belirli bir cihazın kontrolünü verir.

Bir dizi sektöre yayılan 350.000’den fazla açık ve kapalı kaynak projesi, CVE-2007-4559 güvenlik açığı kullanılarak rastgele yol geçişi yoluyla kullanılabilir.

Python Güvenlik Açığı 2022’de Yeniden Keşfedildi

Bu özel Python güvenlik açığı, 2022’nin başlarında Trellix güvenlik açığı araştırmacısı Kasimir Schulz tarafından yeniden keşfedildi, ancak bu, başka bir güvenlik sorununu araştırırken yanlışlıkla yapıldı. Schulz, ilk başta bunun tamamen yeni bir sıfır gün kusuru olduğu düşünülse de, CVE-2007-4559’u yeniden gündeme getirdi . Ancak kısa süre sonra bunun aslında on beş yıl önce keşfedilen uzun süredir devam eden Python kusuru olduğu keşfedildi.

Trellix çabucak insanlara kusuru ve Python tabanlı projelere yönelik tehdidini bildiren bir tweet attı.

Bu yeniden keşiften sonra, Trellix 11.000’den fazla proje için yamalar oluşturdu, ancak önümüzdeki haftalarda daha birçok projenin bir yama alacağı düşünülüyor. Trellix, CVE-2007-4559 tarfile güvenlik açığının varlığını taramak için kullanılabilecek Creosote adlı ücretsiz bir araç da oluşturdu.

CVE-2007-4559 Henüz Kullanılmayacak

Bu Python dili kusuru binlerce proje için önemli bir tehdit oluştursa da, henüz istismar edilmemiş gibi görünüyor. Araştırmacılar, kötü niyetli aktörler kusurdan yararlanmadan önce projelerin yamalanacağını umuyor, ancak bu biraz zaman alabilir ve CVE-2007-4559’un kullanım kolaylığı, onu potansiyel olarak büyük bir tedarik zinciri sorunu haline getiriyor.

Zafiyetler Hem Kişiler hem de Kurumlar İçin Tehdit Oluşturmaya Devam Ediyor

Güvenlik açıkları, araştırmacılar ve analistler tarafından sürekli olarak keşfedilmekte ve siber suçlular bir düzeltme eki almadan önce bunlardan yararlanmaya isteklidir. Bu, tüm endüstrilerde bir endişe olmaya devam edecek ve muhtemelen gelecekte daha fazla soruna neden olacaktır. CVE-2007-4559 örneğinde, Trellix, bu kusurun kötü niyetli aktörler tarafından kötüye kullanılmaması için projelere mümkün olan en kısa sürede onarılmış kod sağlamaya isteklidir.