Vulnerabilidade abrangente no 7-ZIP com classificação 8.8 de CVE permite execução de código e deixa centenas de milhões de máquinas em risco

A preocupação com vulnerabilidades de segurança não parece ter um fim à vista. O utilitário 7-Zip, conhecido por sua funcionalidade com arquivos compactados, está no centro das atenções devido a uma vulnerabilidade classificada como CVE 8.8. Essa falha ocorre quando um usuário simplesmente abre um arquivo manipulado, como .7z, .zip ou .rar, em uma máquina com pelo menos 16 GB de RAM, permitindo a execução de código malicioso. Para evitar riscos, é fundamental que todos atualizem para a versão mais recente, 26.01, lançada no final de abril, pois todas as versões anteriores estão expostas ao problema.

Essa situação é alarmante, considerando a popularidade do 7-Zip. Embora muitos o associem a um aplicativo gráfico do Windows, variantes de linha de comando também são vulneráveis em diferentes sistemas operacionais. O 7-Zip não possui mecanismos de atualização automáticos, dependendo da ação do usuário ou de sistemas de gerenciamento de pacotes para se manter atualizado.

A vulnerabilidade do aplicativo Windows é preocupante, mas também existem milhões de scripts de linha de comando que estão indiretamente em risco, assim como fluxos de trabalho em integração e entrega contínua (CI/CD). Qualquer chamada a uma variante do binário “7z” que abra um arquivo comprometido, até mesmo para listar seu conteúdo, representa um risco.

Além disso, muitas distribuições Linux vêm com versões desatualizadas do “p7zip”, o que aumenta a vulnerabilidade, especialmente em servidores que, por algum motivo, listam automaticamente os conteúdos de arquivos. Com mais de 400 milhões de downloads do 7-Zip registrados em Sourceforge e 24,5 milhões no Chocolatey, é razoável supor que centenas de milhões de máquinas possam estar comprometidas.

A natureza aberta do 7-Zip facilita que suas bibliotecas base sejam incluídas em uma ampla gama de softwares de terceiros, que também podem ser alvos de exploração. Isso inclui scanners de antivírus, ferramentas de backup e automação, e até softwares de análise de registros e malwares. Muitas vezes, esses softwares não exigem a interação do usuário para processar um arquivo malicioso, e a situação piora, pois muitos deles operam com permissões elevadas.

Testes preliminares indicam que versões como Ubuntu 24, Ubuntu 26 e RHEL 8 também apresentam as versões vulneráveis do 7-Zip. Infelizmente, muitos sistemas OEM incluem o 7-Zip por padrão, o que é preocupante. O pacote “p7zip” é comum em distribuições como Fedora, e várias imagens Docker também utilizam versões desatualizadas.

A vulnerabilidade em questão é ligada ao código que o 7-Zip usa para abrir imagens de disco NTFS. Há um erro no código que permite que um invasor forneça valores incorretos para um buffer, fazendo-o exceder o tamanho pretendido e executar código malicioso. Importante ressaltar que o 7-Zip não utiliza a extensão do arquivo para determinar seu tipo de conteúdo; ele se baseia nos primeiros bytes do arquivo. Portanto, um arquivo NTFS malicioso pode estar contido em .7z, .rar, .zip, entre outros, sem problemas.

Com tantas máquinas em risco e a complexidade da situação, a necessidade de atualização imediata é mais urgente do que nunca.