Ongeveer een derde van de softwarepakketten uit de Python Package Index (PyPi) is kwetsbaar voor een ontwerpfunctie waarmee een aanvaller automatisch code kan uitvoeren wanneer deze naar een computer wordt gedownload.
Bevindingen ontdekt door Checkmarx en gepubliceerd Vrijdag bevestigde hoe open source software repositories zoals PyPi steeds vaker worden aangevallen en misbruikt door kwaadwillende actoren. Het bedrijf zei dat “een groot aantal kwaadaardige pakketten die we in het wild aantreffen deze code-uitvoeringsfunctie gebruiken bij installatie om hogere infectiepercentages te bereiken.”
Volgens Tzachi Zorenshtain, hoofd Supply Chain Security bij Checkmarx, zijn de meeste ontwikkelaars zich ervan bewust dat wanneer ze een softwarepakket installeren vanuit repositories zoals PyPi, er ook het risico bestaat dat er schadelijke code wordt geïnstalleerd die ermee gepaard gaat.
“Toen we het gedrag daadwerkelijk controleerden en naar nieuwe aanvalsvectoren zochten, ontdekten we dat als je een kwaadaardig pakket downloadt – download het gewoon – het automatisch op je computer wordt uitgevoerd”, vertelde hij aan SC Media in een interview uit Israël. “Dus we probeerden te begrijpen waarom, want voor ons betekent het woord ‘download’ niet noodzakelijk dat de code automatisch wordt uitgevoerd.”
Maar voor PyPi is het dat wel. De commando’s die nodig zijn voor beide processen voeren een script uit, pip genaamd, en voeren een ander bestand uit met de naam setup.py, dat is ontworpen om een gegevensstructuur te bieden voor de pakketbeheerder om te begrijpen hoe een pakket moet worden afgehandeld. Dit script en proces bestaat ook uit Python-code die automatisch wordt uitgevoerd, wat betekent dat een aanvaller deze kwaadaardige code kan invoegen en uitvoeren op iedereen die deze downloadt.
In feite was deze kwetsbaarheid Buiten gebruik Het dateert uit 2014 op GitHub, maar het is niet direct aangepakt omdat de fout meer een kenmerk is van hoe het programma vaak wordt gedownload en geïnstalleerd vanuit de repository dan een bug die niet direct kan worden gecorrigeerd.
Een GitHub-gebruiker schreef in juli 2014: “Het is een ongelukkig feit van het Python-verpakkingssysteem dat alles wat met verpakkingen te maken heeft, altijd willekeurige code-uitvoering met zich meebrengt (met verwijzing naar setup.py).”
In de afgelopen jaren heeft PyPi een nieuw bestandstype (.whl) geïntroduceerd dat de noodzaak om de opdracht setup.py uit te voeren volledig wegneemt, maar om compatibiliteitsredenen laten ze bijdragers nog steeds hun voorkeursindeling kiezen. Dit betekent dat veel pakketten op PyPi – tot een derde, volgens Checkmarx – nog steeds het zwakke tar.gz-formaat gebruiken, en het is duidelijk dat kwaadwillende actoren bewust het oudere formaat zullen kiezen om hun kwaadaardige code te verspreiden.
Er zijn andere oplossingen, zoals het downloaden van het pakket via uw browser, waarmee u het setup.py-proces helemaal kunt vermijden. Bovendien verwacht Zorenshtain de kwetsbaarheid in pakketten die het oudere bestandsformaat gebruiken nog jaren te zullen misbruiken.
“Wat ons het meest stoort, is dat dit geen kwetsbaarheid is die gemakkelijk kan worden verholpen”, zei Zorenshtain, en voegde er later aan toe dat “als we op magische wijze alle formaten veranderen en alles opnieuw weergeven in het nieuwe formaat, dit gedrag gemakkelijk te verwijderen zal zijn We begrijpen dat dit gedrag van Hij waarschijnlijk nog een tijdje bij ons zal blijven, tenminste [building] Bewustwording is wat voor ons belangrijk was.”
Verzoeken om commentaar en vragen die zijn gestuurd naar de Python Software Foundation, die PyPi als een gratis communitybron gebruikt, zijn op het moment van publicatie niet geretourneerd.
“Bekroonde schrijver. Social media-specialist. Introvert. Ongeneeslijke twitterfan. Organisator. Fervent popcultuurliefhebber.”