Широкомасштабная уязвимость 7-Zip позволяет выполнять код и имеет рейтинг CVE 8.8; потенциально уязвимы сотни миллионов машин. — tomshardware.com
Кажется, конца серьезным и широкомасштабным уязвимостям в области безопасности в наши дни не предвидится. В центре внимания оказалась чрезвычайно популярная утилита с открытым исходным кодом для работы с архивами 7-Zip из-за уязвимости с рейтингом 8.8 по шкале CVE в процедуре открытия архивов. Если пользователь просто откроет специально созданный вредоносный архив (.7z, .zip, .rar и т. д.) на машине с объемом оперативной памяти не менее 16 ГБ, он запустит вредоносный код. Извлечение архива не требуется; достаточно только его открытия. Мы настоятельно рекомендуем всем немедленно обновиться до последней версии 26.01, выпущенной в конце апреля; все предыдущие версии уязвимы. Это особенно неприятный момент, поскольку 7-Zip чрезвычайно широко распространен на практике. Большинство людей подумают только о графическом приложении для Windows, но каждый вариант для командной строки уязвим в различных операционных системах. 7-Zip не имеет встроенных механизмов обновления, полагаясь вместо этого на обновления, инициируемые пользователем, или системы управления пакетами. Уязвимость приложения для Windows — это уже плохо; однако следует учесть миллионы сценариев командной строки, которые косвенно уязвимы, как и рабочие процессы CI/CD. Любая система, которая хотя бы вызывает какой-либо вариант бинарного файла “7z” и открывает зараженный архив, даже просто для вывода содержимого, подвергается риску. Подливая масла в огонь, стоит отметить, что многие дистрибутивы Linux поставляются с давно устаревшими портами утилиты “p7zip”. Подумайте только о сервере, который по какой-либо причине автоматически выводит содержимое архивов, — он почти наверняка уязвим. Sourceforge сообщает о примерно 400 миллионах загрузок 7-Zip, а Chocolatey — о 24,5 миллионах; если добавить к этому огромное количество серверов и виртуальных машин на Linux, мы можем говорить о сотнях миллионов уязвимых машин. Но это еще не все. Открытый характер формата 7z означает, что его базовые библиотеки включены в огромное количество стороннего программного обеспечения. Потенциальными целями для эксплуатации являются антивирусные сканеры, инструменты резервного копирования и автоматизации, программное обеспечение для анализа журналов, инструменты анализа вредоносного ПО с автоматическим сканированием и даже многие файловые менеджеры. На практике упомянутое выше программное обеспечение не требует вмешательства пользователя для обработки зараженного архива, и ситуация усугубляется тем, что значительная его часть работает с повышенными привилегиями. Учитывая все обстоятельства, разумно предположить, что почти на каждом компьютере и сервере есть какой-либо исполняемый бинарный файл 7-Zip или код, уязвимый к атаке, которая по сути является атакой типа “drive-by”. Некоторое наше собственное выборочное тестирование показывает, что Ubuntu 24, Ubuntu 26 и RHEL 8 содержат уязвимые версии. Если всего этого было недостаточно, многие OEM-системы поставляются с предустановленным 7-Zip, потому что это отличный, открытый и бесплатный инструмент. Пакет “p7zip” широко распространен в Fedora; многие образы Docker также работают на основных версиях. Саму уязвимость довольно сложно описать, но она связана с частью кода, которую 7-Zip может использовать для открытия образов дисков NTFS. Открытие образов дисков .ntfs и .img давно является функцией 7-Zip, и в коде есть ошибка, которая позволяет злоумышленнику предоставить некорректные значения для буфера, который, в свою очередь, может быть сделан больше, чем предполагалось, и содержать исполняемый вредоносный код. Если к этому моменту вы думаете: “Я не использую такие типы файлов”, 7-Zip не использует расширение файла для определения его типа — он полагается на первые несколько байтов файла, поэтому предоставление вредоносного образа NTFS внутри .7z, .rar, .zip (и других) сработает без проблем.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Bruno Ferreira