PyPI 저장소에 있는 Python 패키지의 46%에는 잠재적으로 안전하지 않은 코드가 포함되어 있습니다.

University of Turku(핀란드)의 연구원 그룹은 취약점으로 이어질 수 있는 잠재적으로 위험한 구성의 사용에 대한 PyPI 저장소의 패키지 분석 결과를 발표했습니다. 197개의 패키지를 분석하는 동안 749개의 잠재적인 보안 문제가 확인되었습니다. 패키지의 46%에는 이러한 문제가 하나 이상 있습니다. 가장 일반적인 문제 중에는 예외 처리 및 코드 대체를 허용하는 기능 사용과 관련된 단점이 있습니다.

확인된 749개 문제 중 442개(41%)는 경미한 문제, 227개(30%)는 보통 문제, 80개(11%)는 위험한 문제로 분류되었습니다. 일부 패키지는 그중에서도 눈에 띄고 수천 개의 문제를 포함합니다. 예를 들어 PyGGI 패키지는 주로 "try-out-pass" 구성 사용과 관련된 2589개의 문제를 식별했으며 appengine-sdk 패키지는 2356개의 문제를 발견했습니다. genie.libs.ops, pbcore 및 genie.libs.parser 패키지에도 많은 문제가 있습니다.

결과는 특정 구조의 적용 상황을 고려하지 않은 자동화된 정적 분석을 기반으로 얻은 것입니다. 코드 스캔에 사용된 Bandit 툴킷 개발자는 오탐(false positive) 수가 상당히 많기 때문에 각 문제에 대한 추가 수동 검토 없이는 스캔 결과를 직접 취약점으로 간주할 수 없다는 의견을 표명했습니다.

예를 들어 분석기는 MD5와 같은 신뢰할 수 없는 난수 생성기 및 해싱 알고리즘을 사용하는 것을 보안 문제로 간주하지만 코드에서는 이러한 알고리즘이 보안에 영향을 주지 않는 목적으로 사용될 수 있습니다. 또한 분석기는 pickle, yaml.load, subprocess 및 eval과 같은 안전하지 않은 함수에서 외부 데이터를 처리하는 것을 문제로 간주하지만 이러한 사용이 반드시 취약점을 수반하는 것은 아니며 실제로 이러한 함수의 사용은 보안 위협 없이 구현될 수 있습니다. .

연구에 사용된 테스트 중:

• 잠재적으로 안전하지 않은 함수 exec, mktemp, eval, mark_safe 등을 사용합니다.
• 파일에 대한 액세스 권한이 안전하지 않게 설정되었습니다.
• 모든 네트워크 인터페이스에 네트워크 소켓을 연결합니다.
• 코드에 엄격하게 지정된 비밀번호와 키를 사용합니다.
• 미리 정의된 임시 디렉터리를 사용합니다.
• 모든 것을 포괄하는 스타일의 예외 처리기에서 전달 및 계속 사용
• 디버깅 모드가 활성화된 Flask 웹 프레임워크 기반의 웹 애플리케이션 실행.
• 안전하지 않은 데이터 역직렬화 방법을 사용합니다.
• MD2, MD4, MD5 및 SHA1 해시 함수를 사용합니다.
• 안전하지 않은 DES 암호화 및 암호화 모드를 사용합니다.
• 일부 Python 버전에서 안전하지 않은 HTTPSConnection 구현을 사용합니다.
• urlopen에 file:// 체계를 지정합니다.
• 암호화 작업을 수행할 때 의사 난수 생성기를 사용합니다.
• Telnet 프로토콜을 사용합니다.
• 안전하지 않은 XML 파서를 사용합니다.

또한 PyPI 디렉터리에서 8개의 악성 패키지가 감지된 것을 확인할 수 있습니다. 제거되기 전에 문제가 있는 패키지는 30만 번 이상 다운로드되었습니다. 악의적인 활동을 숨기고 패키지의 간단한 정적 분석기에서 경고를 우회하기 위해 코드 블록은 Base64를 사용하여 인코딩되었으며 평가 호출을 사용하여 디코딩된 후 실행되었습니다.

Noblesse, genesisbot, are, pain, Noblesse2 및 Noblessev2 패키지에는 Chrome 및 Edge 브라우저에 저장된 신용 카드 번호와 비밀번호를 가로채고 Discord 애플리케이션에서 계정 토큰을 전송하고 화면 콘텐츠의 스크린샷을 포함한 시스템 데이터를 전송하는 코드가 포함되어 있습니다. pytagora 및 pytagora2 패키지에는 타사 실행 코드를 로드하고 실행하는 기능이 포함되어 있습니다.

출처 : opennet.ru