近日,国内某安全公司研究人员透露了一个关键漏洞的详细信息,该漏洞影响了许多生态系统中的数千个项目,黑客可以利用这些漏洞在目标系统上实现代码执行。
黑客是如何通过Zip压缩文件入侵攻击?被称为“ZipSlip”的问题是一个任意的文件覆盖漏洞,在从档案文件中提取文件时触发目录遍历攻击,并影响包括tar,jar,war,cpio,apk,rar和7z在内的大量压缩文件。
用Google,Oracle,IBM,Apache,亚马逊,Spring/Pivotal,Linkedin,Twitter,阿里巴巴,Eclipse,OWASP,ElasticSearch,JetBrains等编程语言编写的数千种项目,包括JavaScript,Ruby,Java,.NET和Go包含易受攻击的代码和库。
这些漏洞多年来一直未被发现,因此可以利用特制的存档文件利用目录遍历文件名来利用该漏洞,如果该漏洞被任何易受攻击的代码或库提取,将允许攻击者将应该驻留的文件夹之外的恶意文件解压缩。
利用这种ZipSlip攻击,攻击者甚至可以覆盖应用程序的合法可执行文件或配置文件,诱使目标系统或用户运行它,“从而在受害者的机器上实现远程命令执行”,该公司解释说。
该漏洞还可能通过覆盖配置文件或其他敏感资源而造成损害,并且可以在客户端(用户)机器和服务器上被利用。
这个zip文件的内容必须手工制作,尽管zip规范允许用户使用档案创建工具通常不允许用户添加这些路径的文件,但使用正确的工具可以很容易地创建具有这些路径的文件。安全公司还展示了攻击者如何利用ZipSlip漏洞。(黑客周刊)