Ряд популярных открытых форматов архивации подвержены «архитектурной» уязвимости, которая позволяет наносить серьезный ущерб операционным системам с помощью специально созданных архивных файлов.

У вас архив расстегнулся

В программных библиотеках, с помощью которых производится деархивация, выявлена критическая уязвимость, которая затрагивает ряд популярных форматов.

Уязвимость, получившая название Zip Slip, допускает запуск произвольного кода на уязвимых системах. Обнаружившие ее эксперты по информационной безопасности указывают, что при успешной эксплуатации злоумышленник может осуществить разархивирование произвольного файла в обход заданного в системе пути, и таким образом произвести перезапись критически важных файлов. Это могут быть критические библиотеки операционной системы или файлы настроек сервера.

Для эксплуатации уязвимости потребуется создать архив, в котором будут содержаться «неверные» пути, - фактически, ссылки на директории, в которые будет разархивироваться тот или иной файл.

Таким образом, указывают эксперты, успешная эксплуатация Zip Slip комбинирует сразу два типа кибератак - произвольная перезапись файлов (Arbitrary File Overwrite) плюс относительно типичный обход каталога (Directory Traversal).

«Баг» затрагивает форматы архивов tar, jar, war, cpio, apk, rar и 7z.

Тысячи проектов под угрозой

Угрозе подвержены «тысячи проектов, включая разработки Alibaba, Apache, Amazon, Google, Eclipse, HP, IBM, Linkedin, Oracle, Pivotal, Twitter и многих других».

Обнаружившие уязвимость эксперты британской компании Snyk уже выложили примеры архивов, с помощью которых можно эксплуатировать Zip Slip и опубликовали видеоролик с демонстрацией кибератаки.

«Баг» был обнаружен в апреле 2018 г., и с тех пор эксперты Snyk приватным порядком проинформировали разработчиков уязвимых библиотек и программных пакетов. Некоторые уже выпустили обновления против этой уязвимости.

«Эксплуатацию Zip Slip нельзя назвать совсем тривиальной, поскольку она требует дополнительных манипуляций с генерацией архива. Как правило, архиваторы не позволяют добавлять файлы сразу вместе с указанием каталогов, - отмечает Олег Галушкин, эксперт по информационной безопасности компании SEC Consult Services. - Но это вполне реализуемо. Сама же возможность эксплуатации данной уязвимости появляется из-за отсутствия в программных библиотеках процедуры проверки пути, по которому производится разархивирование файла». Эксперт отметил также, что распространенность этой проблемы связана не с каким-то конкретным фрагментом кода, а с самим подходом к написанию библиотек, отвечающих за разархивирование файлов.