Cybercrime: SCM-Sicherheitslücke bedroht Open-Source-Projekte

Das neu gegründete „Trellix Advanced Research Center“ des IT-Anbieters sieht durch Schwachstellen in der Software „Python“ rund 350.000 Open-Source-Projekte gefährdet.

Eine Standardschnittstelle in der Software Python könnte für Open-Source-Projekte zum Problem werden. (Symbolbild: Fotofabrika / AdobeStock)
Eine Standardschnittstelle in der Software Python könnte für Open-Source-Projekte zum Problem werden. (Symbolbild: Fotofabrika / AdobeStock)
Therese Meitinger

Der auf Cybersicherheit spezialisierte IT-Anbieter Trellix hat am 21. September das erste Ergebnis seines neu gegründeten Advanced Research Center (ARC) bekanntgegeben. Das in München angesiedelte Analysezentrum hat sich zum Ziel gesetzt, sicherheitsrelevante Trends frühzeitig zu identifizieren und darüber zu informieren. Basierend auf dem Trellix „Data Lake“ will das Analysezentrum laut einer Pressemitteilung Berichte, Forschungsergebnisse und Erkenntnisse zu aktuellen Methoden, Trends und Akteuren in der Bedrohungslandschaft veröffentlichen und zugleich über die F&E-Aktivitäten von Trellix berichten. 

Standardmodul als Einfallstor

Zu Beginn seiner Tätigkeit veröffentlichte das Analysezentrum nun detaillierte Informationen zu „CVE-2007-4559“, einer Sicherheitslücke, von der nach Einschätzung der Wissenschaftler nicht nur über 350.000 Open-Source-, sondern auch Closed-Source-Projekte betroffen sein dürften. Die Schwachstelle befindet sich dem Unternehmen zufolge im „Python“-Modul für „Tar“-Dateien, einem Standardmodul in allen Projekten, die „Python“ verwenden, und ist in den Frameworks von Netflix, AWS, Intel, Facebook und Google sowie in Anwendungen für Machine Learning, Automatisierung und Docker-Containerisierung weit verbreitet. Durch das Hochladen einer bösartigen Datei kann laut Trellix die Sicherheitslücke ausgenutzt werden, die mit zwei oder drei Zeilen einfachen Codes generiert wird und Angreifern möglicherweise die Ausführung beliebigen Codes oder die Kontrolle über ein Zielgerät ermöglicht.  

„Wenn wir von Bedrohungen der Software-Lieferkette sprechen, meinen wir meist Cyber-Angriffe wie SolarWinds. Dabei sollte uns längst klar sein, dass ein schwaches Code-Fundament ernste Auswirkungen auf die Sicherheit der darauf aufbauenden Programme haben kann“, erklärt Christiaan Beek, Head of Adversarial & Vulnerability Research bei Trellix.

Viele IT-Handbücher und Online-Schulungsmaterialien ignorierten diese Gefahr und sorgten so dafür, dass die Sicherheitslücke über Jahre bestehen bleibe, so Beek weiter.

Open-Source-Programme wie Python sind der Mitteilung zufolge unverzichtbare Instrumente zur Förderung von Innovationen im IT-Sektor. Für einen zuverlässigen Schutz vor bekannten Gefahren brauche es daher die Zusammenarbeit aller Beteiligten aus der gesamten Branche, argumentiert der Software-Anbieter. Trellix selbst setzt auf die Code-Übernahme über einen „GitHub Pull Request“, um Open-Source-Projekte effektiv zu schützen.

Printer Friendly, PDF & Email