מהו באמת "זיפ המוות" (פצצת דקומפרסיה)
א רוכסן המוות—המכונה גם פצצת זיפ או פצצת דקומפרסיה—הוא קובץ ארכיון זדוני שנוצר כדי לנצל את ההתנהגות הבסיסית של פורמטי דחיסה. כאשר קובץ כזה נדחס, הוא עלול להתרחב לגודל עצום, להציף את משאבי המערכת ולהביא להפסקת תהליכים או אפילו לשרתים שלמים. מה שהופך את ההתקפה הזו לעדינה ורלוונטית גם כיום הוא העובדה שהיא שימוש לרעה בפונקציונליות לגיטימית: דחיסה. מערכות מודרניות מצפות שקבצים דחוסים יהיו בלתי מזיקים, אך פצצת zip צורכת בשקט את משאבי המעבד, הזיכרון, האחסון או קיבולת ה-I/O כאשר היא נפרקת.
בניגוד לתוכנות זדוניות שמבצעות קוד או גונבות נתונים, Zip of Death היא נשק למניעת שירות משובץ בארכיון. מטרתו אינה גניבה ישירה אלא מיצוי משאבים והפרעה בשירות, מה שיוצר לעתים קרובות פתחים לניצול נוסף או פשוט משבש את זרימות העבודה האוטומטיות.
איך פועל Zip of Death: המכניקה הטכנית
ה-Zip of Death הקלאסי מנצל דחיסה רקורסיבית: ארכיונים מקוננים דוחסים מערכי נתונים גדולים יותר ויותר לקבצים קטנים באופן מטעה. דוגמה היסטורית מפורסמת היא הקובץ "42.zip": גודלו הדחוס כ-42 KB, אך לאחר הדחיסה הוא מכיל מעל 4.5 פטה-בייט של נתונים.
זה קורה משום שתבנית ZIP מאפשרת הפניות לתוכן גדול שמתממש רק במהלך הפריקה. תהליך הדחיסה מקצה זיכרון ודיסק לכל הנתונים לפני שהוא מעביר את השליטה בחזרה ליישום הקורא, ולכן מערכות שאינן אוכפות מגבלות נותרות במהירות ללא משאבים.
בסביבות מודרניות — צינורות ענן, מיקרו-שירותים, מערכות CI/CD — התפוצצות משאבים זו עלולה להפיל לא רק תוכנית אחת, אלא אשכולות שלמים, כאשר השירותים נכשלים ומותחלים מחדש שוב ושוב.
אירועי אבטחה אמיתיים משנת 2025 הקשורים לטיפול בקבצי Zip או ארכיונים
למרות שקשה לאתר התקפות פצצות פירוק קלאסיות בשטח (מכיוון שתוקפים משלבים אותן לעתים קרובות עם טקטיקות אחרות), שנת 2025 הביאה עמה מספר פגיעויות בעלות השפעה רבה ודפוסי ניצול בהקשרים של ZIP ושל דחיסה:
CVE-2025-46730: טיפול לא תקין בנתונים דחוסים מאוד
פגיעות זו, שזוהתה ב- MobSF (Mobile Security Framework), מאפשר לקובץ מסוג zip-of-death למצות את שטח הדיסק של השרת, מכיוון שהיישום אינו בודק את הגודל הכולל של הקובץ לפני החילוץ. קובץ ZIP מעוצב בגודל 12-15 מגה-בייט יכול להתרחב לכמה ג'יגה-בייט לאחר החילוץ, וכתוצאה מכך לגרום למניעת שירות בשרת. Feedly
תוקפים יכולים לכוון לנקודות קצה של העלאת קבצים מבלי לעורר את חתימות התוכנות הזדוניות המסורתיות, פשוט באמצעות דחיסה כדי לקרוס שירותים ולשבש את זרימות העבודה של בדיקות אבטחת המובייל.
פגיעויות ב-7-Zip המנוצלות באופן פעיל (CVE-2025-11001 ו-CVE-2025-0411)
פצצות Zip הפכו למסוכנות יותר בשנת 2025, כאשר תוקפים ניצלו פגמים בכלי דחיסה נפוצים כמו 7-Zip. הפגיעויות שזוהו כ-CVE-2025-11001 ו-CVE-2025-11002 כללו טיפול לא תקין בקישורים סמליים בתוך קבצי ZIP, מה שאפשר לארכיונים מעוצבים לכתוב קבצים מחוץ לספריות המיועדות לכך ולבצע פוטנציאלית קוד במערכות Windows. עזרה ברשת אבטחה
פגם נוסף הקשור לכך, CVE-2025-0411, כלל עקיפת Mark-of-the-Web (MoTW) המאפשרת לארכיונים מקוננים לעקוף את בדיקות האבטחה של Windows בעת חילוץ. NHS אנגליה דיגיטלית
שניהם מציגים מגמה אמיתית לשנת 2025: שילוב של ניצול דחיסת לחץ עם מעבר נתיבים ומנגנוני העלאת הרשאות, מה שהופך את Zip of Death לאיום חמור יותר מאשר התכלות משאבים מסורתית.
מדוע "רוכסן המוות" עדיין רלוונטי בשנת 2025
אנשי אבטחה רבים מניחים ש"פצצות zip" הן טריק ישן, שניתן לאתר באמצעות כלי אנטי-וירוס או שאינו רלוונטי בסביבות ענן מודרניות. אך כפי שמראים אירועים אחרונים, הסכנה האמיתית טמונה במקום ובאופן שבו מתבצע תהליך הפחתת הלחץ.. מערכות המעבדות ארכיונים באופן אוטומטי — שערי דואר, רצים CI/CD, מעבדי אובייקטים בענן ומנהלי תלות — לרוב חסרות בדיקות נאותות. הדבר עלול לגרום ל:
- מניעת שירות כשהמעבדים והזיכרון מגיעים למקסימום.
- הפסקות זרם במורד הזרם מתפשט על פני תשתית מבוזרת.
- כלי סריקת אבטחה לא תקינים תחת עומס משאבים, מה שיוצר נקודות עיוורות. בינה מלאכותית חריגה
- ניצול באגים בניתוח תחבירי, כולל מעבר על קישורים סמליים ושימוש לא נכון בנתיבים.
לפיכך, Zip of Death עדיין מהווה איום רלוונטי במערכות קריטיות למשימה וממוקדות אוטומציה.
הדגמה: איך נראה Zip of Death
דוגמה להתקפה 1: יצירת קובץ Zip פשוט של מוות
להלן דוגמה פשוטה ליצירת ארכיונים מקוננים, שבה כל שכבה מגדילה באופן אקספוננציאלי את גודל הדחיסה.
לנזוף
`#Generate נתוני בסיס dd if=/dev/zero of=payload.bin bs=1M count=100
דחיסה רקורסיבית של layer1.zip payload.bin
zip layer2.zip layer1.zip zip layer3.zip layer2.zip`
זה הסופי layer3.zip עשוי להיות רק כמה קילובייטים, אך דחיסתו באופן נאיבי עלולה לגרום לצריכת דיסק וזיכרון רבה.
דוגמה להתקפה 2: קינון עמוק כדי לעקוף בדיקות שטחיות
תוקפים לעתים קרובות משלבים קבצי zip מקוננים בתוך ספריות כדי לעקוף בדיקות גודל פשוטות:
לנזוף
mkdir nestedcp layer3.zip nested/ zip final.zip nested
בדיקות נאיביות מסתכלות רק על final.zip גודל דחוס, ללא פוטנציאל התנפחות מקונן.
דוגמה להתקפה 3: הפעלת פצצת דחיסה CI/CD
בסביבות CI:
yaml
`#דוגמה לקטע קוד ב- .gitlab-ci.yml before_script:
- unzip artifact.zip -d /tmp/build`
אם artifact.zip הוא Zip of Death, סוכן הבנייה עלול לקרוס או שהצינור עלול להיתקע ללא הגבלת זמן עקב מיצוי משאבים.
דוגמה להתקפה 4: ניצול לרעה של דחיסת שער דואר אלקטרוני
מוצרי אבטחת דואר אלקטרוני לעיתים קרובות פותחים קבצים מצורפים לצורך בדיקת תוכן:
טקסט
קובץ מצורף: promo.zip (75 KB)
אם הגודל לאחר הדחיסה הוא עצום, מנוע הסריקה עלול לקרוס, מה שיגרום לעיכוב או לחסימת משלוח הדואר.
דוגמה להתקפה 5: ניצול פגיעות בניתוח ZIP (PickleScan Crash)
הודעה משנת 2025 חשפה כיצד כותרות ZIP פגומות עלולות לגרום לקריסת כלי סריקה — לא באמצעות מיצוי משאבים, אלא באמצעות חוסר עקביות בניתוח (הגורם לשגיאות כמו BadZipFile). GitHub
פייתון
עם zipfile.ZipFile('malformed.zip') כ-z: z.open('weird_header')
זה יכול לעקוף בדיקות איכות ולשבש מערכות סריקה אוטומטיות.
אסטרטגיות הגנה נגד Zip of Death
הפחתת התקפות Zip of Death דורשת בקרות חופפות מרובות מכיוון שהבעיה הבסיסית היא בעיה תפקודית (הדחיסה עצמה), ולא באג בתוכנה בודדת.
אסטרטגיית הגנה 1: הערכת גודל לפני דקומפרסיה
בדוק את הגודל הכולל הצפוי ללא דחיסה לפני החילוץ.
פייתון
import zipfile with zipfile.ZipFile("upload.zip") as z: total = sum(info.file_size for info in z.infolist())if total > 1_000_000_000: # ~1GB raise Exception("Archive too large")
זה עוזר למנוע התרחבות קטסטרופלית.
אסטרטגיית הגנה 2: הגבלת עומק רקורסיבי
עקוב אחר עומק הארכיונים המקוננים והגבל אותו.
פייתון
def safe_extract(zf, depth=0):
אם עומק > 3:
raise Exception("יותר מדי ארכיונים מקוננים")
למידע ב- zf.infolist():
אם info.filename.endswith('.zip'):
עם zf.open(info.filename) כמקונן:
safe_extract(zipfile.ZipFile(nested), depth+1)
אסטרטגיית הגנה 3: בידוד משאבים
הפעל דחיסה בקרנלים מבודדים או במכולות עם מכסות קשיחות כדי למנוע השפעה על שירותי המערכת:
לנזוף
docker run --memory=512m --cpus=1 unzip image.zip
גם אם הארכיון מנסה לצרוך משאבים, התהליך מוגבל.
אסטרטגיית הגנה 4: חילוץ זרם עם תנאי הפסקת פעולה
במקום חילוץ מלא, טפל בקריאות מקוטעות ובטל את התהליך בשלב מוקדם:
פייתון
אם extracted_bytes > THRESHOLD: abort_extraction()
זה עוצר התרחבות בלתי נשלטת בשלב מוקדם.
אסטרטגיית הגנה 5: עדכון ספריות וכלים פגיעים
תקן באופן פעיל פגיעויות ידועות בספריית דחיסה, כגון אלה ב-7-Zip (לדוגמה, CVE-2025-11001 ו-CVE-2025-0411), כדי למנוע ניצול פרצות המשלבות פצצות zip עם מעבר או ביצוע קוד. שבוע האבטחה
טבלה השוואתית של פגיעות ZIP לשנת 2025
כדי לתת מבנה לנוף האיומים הנוכחי, להלן תמונת מצב של הסיכונים הקשורים ל-ZIP שנצפו בשנת 2025:
| קטגוריית איום | דוגמה | השפעה |
|---|---|---|
| פצצת דקומפרסיה | ארכיון רקורסיבי קלאסי | מיצוי משאבים, DoS |
| ניתוח ניצול | CVE-2025-46730 | כלי תיקון / מילוי דיסק |
| פגמים ב-ZIP Parser | CVE-2025-11001 | כתיבת קבצים שרירותית |
| עקיפת MotW | CVE-2025-0411 | התחמקות מבדיקת ביטחון |
Penligent.ai: זיהוי אוטומטי של סיכונים בארכיון
Zip of Death ותקיפות ארכיון דומות אינן קלות לאיתור באמצעות סריקה סטטית בלבד, מכיוון שהן מנצלות סמנטיקה של פרוטוקול ו התנהגות בזמן ריצה, ולא רק חתימות בייט ידועות. זה המקום שבו פלטפורמות חדירה אוטומטיות מודרניות כמו Penligent.ai לזרוח.
Penligent.ai משתמשת ב-fuzzing חכם מבוסס AI וביצירת תרחישים כדי לבדוק:
- העלאת נקודות קצה בגדלים שונים של ארכיונים ובמבנים מקוננים
- לוגיקת דחיסת נתונים אחורית לאכיפת משאבים
- ניתוח נתיבי ארכיון עם קישורים סמליים וכותרות מיוחדות
- קוד לטיפול בשגיאות שעלול לקבל שקט קלט מסוכן
על ידי הדמיית דפוסי תקיפה אמיתיים, כגון קינון רקורסיבי או התקפות כותרת פגומות, Penligent.ai מסייע למהנדסים לאתר ולתעדף סיכונים שסורקים מסורתיים מפספסים.
בסביבות מיקרו-שירותים או ענן מקומיות, שבהן הטיפול בקבצים מתבצע על ידי רכיבים עצמאיים רבים, בדיקות רציפות ואוטומטיות מסוג זה הן חיוניות לאיתור פערים לפני שתוקפים יעשו זאת.
מגמות מתקדמות בתחום התקפות Zip בשנת 2025
מלבד פצצות דקומפרסיה קלאסיות, בשנת 2025 נראו ניצול מבוסס ZIP מורכב יותר:
- פגמים בניתוח ZIP המשמשים ב- התקפות משולבות (מיצוי משאבים + ביצוע קוד)
- סיומות ארכיון מזויפות בהומוגליפים העוקפות מסנני אבטחה
- ניצול ארכיונים מקוננים כדי לעקוף את הכללים של "גודל ארכיב מרבי"
- שימוש לרעה בטיפול בקישורים סמליים כדי לבצע מעבר בין ספריות
דפוסים אלה מראים כי התפיסה הפשטנית של פצצות zip כגורמים מפעילים של DOS היא מיושנת; האיומים המודרניים משלבים פגמים לוגיים בהתקפות על משאבים.
שיקולים משפטיים ואתיים
יצירת פצצות Zip כשלעצמה אינה תמיד בלתי חוקית — חוקרי אבטחה משתמשים בהן לעתים קרובות כמקרי מבחן. עם זאת, הפצתן מתוך כוונה זדונית (לצורך שיבוש או גישה לא מורשית) עלולה להיחשב כעבירה. שימוש לרעה במחשב וחקיקה בנושא DoS, כגון החוק האמריקאי CFAA או חוקים דומים בתחומי שיפוט אחרים. בהירות משפטית
דבר זה מדגיש את החשיבות של טיפול אחראי במחקר הגנתי והבטחת שהוכחות היתכנות יישארו בסביבות מעבדה מאובטחות.
מסקנה: רוכסן המוות אינו שריד מהעבר — הוא סיכון מתמשך
גם בשנת 2025, בעידן של תוכנות זדוניות מתקדמות ואיומים מבוססי בינה מלאכותית, Zip of Death נותר רלוונטי מכיוון שהוא מנצל הנחה בסיסית בעיצוב תוכנה: שהפחתת הלחץ היא בטוחה.
אוטומציה מודרנית — משערי דואר אלקטרוני ועד צינורות ענן — סומכת על קבצים דחוסים ללא בדיקות תקינות נאותות. כאשר הנחות אלה נכשלות, שירותים שלמים עלולים לרדת מהרשת.
על ידי שילוב של הגנות יזומות, שמירה על ספריות מעודכנות כנגד פגיעויות ניתוח, ושימוש בכלים כמו Penligent.ai במקרה של מתקפות מדומות מתמשכות, צוותי האבטחה יכולים לעצור את מתקפות Zip of Death לפני שהן משביתות את המערכות.
Hebrew 
English 
German 
French 
Spanish 
Portuguese 
Japanese 
Korean 
Hindi 
Arabic 
Turkish