Le centre de recherche avancée Trellix a publié ses recherches sur CVE-2007-4559, une vulnérabilité dont on estime qu’elle est présente dans plus de 350 000 projets à code source ouvert et répandue dans les projets à code source fermé.
La vulnérabilité se trouve dans le module Python tarfile qui est un module par défaut dans tout projet utilisant Python et que l’on retrouve largement dans les frameworks créés par Netflix, AWS, Intel, Facebook, Google, et les applications utilisées pour l’apprentissage automatique, l’automatisation et la conteneurisation Docker.
La vulnérabilité peut être exploitée en téléchargeant un fichier malveillant généré avec deux ou trois lignes de code simple et permet aux attaquants d’exécuter un code arbitraire ou de prendre le contrôle d’un appareil cible.
« Lorsque nous parlons de menaces pour la chaîne d’approvisionnement, nous faisons généralement référence à des cyber-attaques telles que l’incident de SolarWinds, mais le fait de construire sur des bases de code faibles peut avoir un impact tout aussi grave », a déclaré Christiaan Beek, responsable de la recherche sur les adversaires et les vulnérabilités chez Trellix.
Les outils de développement à code source ouvert, comme Python, sont nécessaires pour faire progresser l’informatique et l’innovation, et la protection contre les vulnérabilités connues nécessite la collaboration de l’industrie.
Les chercheurs s’efforcent de diffuser le code par l’intermédiaire d’une demande d’extraction GitHub afin de protéger les projets open-source contre cette vulnérabilité.