Hay vulnerabilidades que duran meses y que causan problemas durante todo este tiempo. Pero hay otras que duran incluso más y es lo que ha ocurrido con una vulnerabilidad en el lenguaje de programación Python: más de 15 años siendo vulnerable y con cientos de miles de afectados, este lenguaje ha vuelto a ser el centro de atención por un problema que nunca tuvo solución hace muchos años.
El problema de seguridad lleva más de una década y nunca ha recibido ningún parche. Se ha pasado por alto desde hace 15 años y se estima que ha podido afectar a más de 350.000 repositorios de código abierto desde que fue revelado en 2007. Ha sido ahora cuando los investigadores de la empresa Trellix (formada por la unión entre FireEye y McAfee) han puesto el foco en este problema.
En 2007 fue revelado y se etiquetó como una vulnerabilidad CVE-2007-4559. Pero nunca fue solucionada y se consideró que la vulnerabilidad apenas tenía importancia. Pero ahora, según los investigadores de Trellix, se habría extendido entre muchas aplicaciones de aprendizaje automático. En su momento, solo hubo una actualización de la documentación que advertía a los desarrolladores sobre ella y sobre el riesgo que podía suponer pero sin buscar ninguna solución al mismo…
Ahora sabemos que la vulnerabilidad aparece en las funciones “extraer” y “extraer todo” en el módulo tarfile de Phython. La vulnerabilidad se puede explotar con un archivo malicioso generado con pocas líneas de código y esto permitiría a los atacantes ejecutar código arbitrario.
Más de 350.000 proyectos afectados
El número de proyectos afectados es de 350.000 según los investigadores de Trellix que descubrieron la vulnerabilidad y que analizaron el impacto. Estaba presente en miles de proyectos de software entre los que había proyectos de código abierto y otros que no. Para ello, los investigadores revisaron alrededor de 257 repositorios y vieron cuántos de ellos incluían código vulnerable. Verificaron manualmente 175 de ellos para saber si estaban afectados y pudieron encontrar más de un 60% de casos.
El conjunto de muestras, como explican desde Bleeping Computer, sirvió como referencia para tener una estimación de todos los repositorios disponibles en GitHub que habían sido afectados y Trellix concluyó que había más de 350.00 repositorios vulnerables y muchos de ellos habían sido usados por herramientas de aprendizaje automático, herramientas automatizadas basadas en el código de cientos de miles de repositorios y que tienen como función hacer un completado automático para terminar un proyecto de forma más rápido. Al proporcionar un código inseguro, este problema o vulnerabilidad se va propagando por otros proyectos de forma global.
Además, la compañía ha recordado que las herramientas de desarrollo de código abierto como Python son necesarias para avanzar pero dependen de la colaboración de la industria para protegerse de vulnerabilidades. Desde Trellix aseguraron que ya trabajan en cómo proteger los proyectos de código abierto de la vulnerabilidad con una herramienta gratuita que los desarrolladores podrán utilizar para saber o para verificar si sus aplicaciones son o no vulnerables.