「黑白丛林」供应链刺客？安恒信息SCA平台帮你摆平

近期，热门编程语言Python的内置模块中的CVE编号为CVE-2007-4559（CVSS评分：6.8）的安全漏洞重新点燃供应链安全的话题热度。

经过进一步分析后，安全研究人员发现这是一个早在2007年就已经披露过的 Python tarfile包中的漏洞，产生于使用未经处理的tarfile.extract ()函数或tarfile.extractall ()的内置默认值的代码中。

时至今日，该漏洞竟已存在15年之久，其影响范围之广，可能导致35万余个开源项目被利用，更涉及人工智能、机器学习、网络开发、媒体、安全、IT管理等多个领域。自2007年8月首次报告以来，其相关的技术细节也一直存在可用。但目前却从未收到过任何补丁，唯一提供的缓解措施是警告开发人员有关风险的文档更新。官方 Python 文档明确警告称 “切勿在未经事先检查的情况下从不受信任的来源提取档案”。

该漏洞为tarfile模块，可能导致服务器任意文件写入，本质上属于Zip Slip攻击方式。Zip Slip是一种可以从存档中提取文件的目录遍历漏洞利用形式。目录遍历漏洞的基础是攻击者可以获取目标文件夹外的文件系统的部分访问权限。然后攻击者可以覆写可执行文件，然后远程唤醒或等待系统、用户调用，然后在受害者的设备上执行远程命令。如果覆写了配置文件或其他敏感的资源，那么该漏洞就会造成比较大的危害，而且该漏洞可以在客户端和服务器利用。

在历史上，Zip Slip影响了许多的存档格式，包括tar, jar, war, cpio, apk, rar, 7z等，同时像java.util.zip，Apache commons-compres，Apache Ant，ZeroTurnaround zt-zip和zip4j等Java组件库历史版本都受到其影响。

安恒信息中央研究院研究团队在Github上拉取近300个可能包含易受攻击代码的开源项目，并利用安恒信息自研的软件成分分析（SCA）平台检查所有项目受漏洞影响情况。结果表明，其中63%项目存在CVE-2007-4559漏洞，而90%项目还存在其他严重或高危的漏洞。

开源项目中的漏洞引入主要来自于不安全的开源组件。根据国外安全机构的调研报告显示，企业应用代码超过80%来自第三方资源库或第三方组件，97%的java程序至少存在1个已知安全漏洞，而由第三方代码缺陷导致的信息泄露漏洞占比高达72%。

而国内企业的应用系统也存在同样的问题，比如漏洞频发的Fastjson库，攻击者可利用其反序列化漏洞，远程命令执行入侵到企业服务器，通过服务器执行命令，危害性极大；2021年log4j库出现横扫全球的JNDI注入漏洞，可直接远程控制企业服务器。类似的还有jackson、shiro、Struts2,、OpenSSL等。

为了解决这类问题，软件成分分析（SCA）应运而生。软件成分分析（SCA）能够在开发过程中对应用程序进行分析，以检测开源软件组件是否带有已知的漏洞，例如具有可用安全补丁程序的过期库，以及需要相应授权许可（法律风险）的商业软件或第三方产品。

安恒信息全新自研软件成分分析（SCA）平台大大节省了内部业务研发人力成本，合理管控项目供应链风险。并且在开发测试环节中建立安全测试环节，取代了人工渗透环节，帮助该企业在项目开发过程中快速发现软件成分风险、查出安全问题。还能提供相关修复方案、建议，帮助研发人员提升代码质量以及提供Jenkins、IDEA等插件集成，做到了无感知融入开发环境，减轻安全人员重复工作，降低了安全技术的门槛，做到软件安全真正自主可控。