Вредоносные архивы ZIP и 7z могут привести к выполнению кода в системе

Олег Иванов 06 Июня 2018 - 10:26

...

Вредоносные архивы ZIP и 7z могут привести к выполнению кода в системе

Вредоносные файлы архивов могут быть использованы злоумышленником для эксплуатации уязвимости, которая позволяет перезаписывать документы и данные, находящиеся в файловой системе компьютера. Эта же брешь может также привести к удаленному выполнению кода.

Проблема получила название «Zip Slip», ее обнаружили эксперты из Snyk, она затрагивает следующие форматы файлов: zip, .tar, .war, .cpio и .7z.

Баги были найдены в коде библиотек, написанных разработчиками Apache, Oracle и другими, что ставит под угрозу тысячи приложений. В настоящее время выпущены патчи библиотек, это значит, что разработчики продуктов, использующих небезопасный код, должны обновить свои программы.

В случае открытия пользователем вредоносного архива, который эксплуатирует данную брешь, атакующий может выполнить набор команд и перезаписать данные, фактически это позволит установить вредоносные программы в систему.

По словам исследователей из Snyk, ошибки присутствуют в коде, который распаковывает сжатые архивы. Если программа неверно обрабатывает имена файлов в архиве, киберпреступник могут установить свой путь для распаковки. При извлечении такого файла он перезапишет данные в том месте, куда его извлекут.

В случае атаки это поможет злоумышленнику скопировать файл в системный каталог или другое место, к которому у него нет обычного доступа. Таким образом, атакующий может заменять системные файлы, либо помещать файлы вредоносных сценариев в системные папки.

Эксперты опубликовали видео, доказывающее концепцию этой уязвимости:

Также специалисты опубликовали код Java, использующий уязвимую библиотеку:

1: Enumeration<ZipEntry>entries = zip.getEntries(); 
2: while(entries.hasMoreElements()){
3: ZipEntry e = entries.nextElement();
4: File f = new File(dir, e.getName());
5: InputStream input = zip.getInputStream(e);
6: IOUtils.copy(input, write(f));
7: }

Среди продуктов, использующих уязвимые библиотеки, есть такие, как платформа Google Cloud, набор программного обеспечения Oracle, Amazon CodePipeline, IBM DataPower, Alibaba JStorm и Twitter Heron.

Следующая главная новость »

Как расследовать внутренние инциденты в ИБ? Обсудим в эфире AM Live. Регистрируйтесь по этой ссылке »

Читайте также

На взлом робота нужно не больше часа

Яков Шпунт 18 Декабря 2025 - 09:16

Взлом программ Уязвимости программ Общее

Большинство коммерческих роботов сегодня содержит значительное число уязвимостей. Как предупреждают китайские эксперты, получение полного контроля над такими устройствами может занять не более часа, а некоторые модели удаётся взломать всего за считаные минуты.

Как рассказал китайскому изданию «Ицай» сотрудник исследовательской и сервисной компании Darknavy Сяо Сюанган, уровень безопасности в современной робототехнике остаётся крайне низким. По его словам, на получение контроля над робособакой Deep Robotics Lite у него ушло менее часа.

Его коллега, эксперт Darknavy Цюй Шипей, продемонстрировал журналистам ещё более наглядный пример — взлом системы управления гуманоидного робота Unitree Robotics занял у него чуть больше одной минуты.

По словам Сяо Сюангана, атака на робота обычно состоит из двух этапов. Сначала злоумышленник получает удалённый доступ к устройству, а затем обходит штатные системы управления и получает прямой контроль над приводами. В таком сценарии робот теоретически может быть использован для агрессивных и потенциально опасных действий.

Инженер-робототехник Линь Ипэй считает, что уязвимости на текущем этапе развития робототехники во многом неизбежны. Многие производители сознательно оставляют доступ к низкоуровневым функциям и возможность удалённого входа — это упрощает отладку и обновление программного обеспечения. По мере взросления технологий такие механизмы обычно закрываются, как это ранее произошло в автомобильной индустрии.

При этом, как отмечает издание, инциденты с роботами, вышедшими из-под контроля, уже фиксировались на практике. В одном случае сотрудник робототехнической компании получил травму из-за некорректных действий робота. В другом — на выставке в Пекине робособака врезалась в группу детей.

По данным журналистов, значительная часть компаний, работающих в сфере робототехники, вовсе не имеет специализированных подразделений информационной безопасности. Среди крупных производителей собственная ИБ-служба есть лишь у Unitree Robotics.

Как расследовать внутренние инциденты в ИБ? Обсудим в эфире AM Live. Регистрируйтесь по этой ссылке »