Kerentanan yang ditemukan dalam bahasa pengkodean Python pada tahun 2007 dapat digunakan untuk mengeksekusi kode di lebih dari 350.000 proyek.
Cacat Python Telah Ada Selama Lima Belas Tahun
Cacat yang belum ditambal di bahasa pemrograman Python sekarang menjadi ancaman serius bagi ratusan ribu proyek. Kerentanan, yang dikenal sebagai CVE-2007-4559, ditemukan lima belas tahun yang lalu tetapi dianggap berisiko rendah, dan karenanya tidak ditambal (meskipun peringatan dikeluarkan untuk pengembang tentang cacat tersebut).
Cacat CVE-2007-4559 ada di dalam fungsi "extract" dan "extractall" di modul tarfile Python. Ini adalah bug traversal jalur, yang memungkinkan aktor jahat menimpa file sewenang-wenang dengan mengunggah file tar berbahaya. Tarfile ini kemudian dapat dieksekusi, memberikan kontrol perangkat yang diberikan kepada aktor jahat.
Lebih dari 350.000 proyek sumber terbuka dan tertutup yang tersebar di berbagai industri dapat dieksploitasi melalui penjelajahan jalur sewenang-wenang menggunakan kerentanan CVE-2007-4559.
Kerentanan Python Ditemukan Kembali pada tahun 2022
Kerentanan Python khusus ini ditemukan kembali pada awal tahun 2022 oleh peneliti kerentanan Trellix Kasimir Schulz, meskipun hal ini dilakukan secara tidak sengaja saat menyelidiki masalah keamanan lainnya. Schulz membawa CVE-2007-4559 kembali menjadi sorotan, meskipun pada awalnya dianggap sebagai produk baru. hari nol kekurangan. Tetapi segera diketahui bahwa ini sebenarnya adalah kelemahan Python yang sudah lama ditemukan lima belas tahun sebelumnya.
Trellix dengan cepat membuat tweet yang memberi tahu orang-orang tentang kelemahan dan ancamannya terhadap proyek berbasis Python.
Setelah penemuan kembali ini, Trellix membuat tambalan untuk lebih dari 11.000 proyek, meskipun lebih banyak proyek diperkirakan akan menerima tambalan dalam beberapa minggu mendatang. Trellix juga telah membuat alat gratis, yang disebut Creosote, yang dapat digunakan untuk memindai keberadaan kerentanan tarfile CVE-2007-4559.
CVE-2007-4559 Belum Dieksploitasi
Meskipun cacat bahasa Python ini merupakan ancaman yang signifikan bagi ribuan proyek, tampaknya belum dieksploitasi. Para peneliti berharap bahwa proyek akan ditambal sebelum aktor jahat dapat mengeksploitasi kelemahan tersebut, meskipun hal ini mungkin terjadi membutuhkan waktu, dan kemudahan eksploitasi CVE-2007-4559 menjadikannya masalah rantai pasokan yang berpotensi besar.
Kerentanan Terus Menjadi Ancaman bagi Individu dan Organisasi
Kerentanan keamanan terus-menerus ditemukan oleh para peneliti dan analis, dengan penjahat dunia maya yang ingin mengeksploitasinya sebelum mereka menerima tambalan. Ini akan terus menjadi perhatian di semua industri, dan kemungkinan akan menyebabkan masalah lebih lanjut di masa mendatang. Dalam kasus CVE-2007-4559, Trellix sangat ingin menyediakan proyek dengan kode yang diperbaiki sesegera mungkin, sehingga kelemahan ini tidak dapat disalahgunakan oleh pelaku jahat.