Ransomware haker ‘ShadowSyndicate’ je uočen kako skenira servere koji su ranjivi na CVE-2024-23334, ranjivost u obilasku direktorija u aiohttp Python biblioteci.
Aiohttp je biblioteka otvorenog koda izgrađena na vrhu Python-ovog asinhronog I/O okvira, Asyncio, za rukovanje velikim količinama istovremenih HTTP zahtjeva bez tradicionalnog thread-based umrežavanja.
Koriste ga tehnološke firme, web programeri, backend inženjeri i naučnici za podatke koji žele da izgrade web aplikacije i usluge visokih performansi koje agregiraju podatke iz više eksternih API-ja.
28. januara 2024. aiohttp je objavio verziju 3.9.2, adresirajući CVE-2024-23334, veliku grešku u prelasku putanje koja utiče na sve verzije aiohttp-a od 3.9.1 i starije, a koja omogućava neautentikovanim udaljenim napadačima da pristupe datotekama na ranjivim serverima.
Greška je zbog neadekvatne validacije kada je ‘follow_symlinks’ postavljeno na ‘True’ za statičke rute, dozvoljavajući neovlašteni pristup datotekama izvan statičkog root direktorija servera.
27. februara 2024. istraživač je objavio proof of concept (PoC) eksploataciju za CVE-2024-23334 na GitHub-u, dok je detaljan video koji prikazuje uputstva korak po korak objavljen na YouTubeu početkom marta.
Analitičari pretnji Cyble-a izvještavaju da su njihovi skeneri uhvatili pokušaje eksploatacije usmjerene na CVE-2024-23334 počevši od 29. februara i nastavlili povećanom stopom u martu.
Pokušaji skeniranja potiču s pet IP adresa, od kojih je jedna označena u izvještaju Grupe-IB iz septembra 2023, koji ju je povezao sa ransomware hakerom ShadowSyndicate-om.
Uočene napadačke IP adrese (Cyble)
ShadowSyndicate je oportunistički, finansijski motivisan haker, aktivan od jula 2022, koji je bio povezan s različitim stepenima povjerenja sa sojevima ransomware-a kao što su Quantum, Nokoyawa, BlackCat/ALPHV, Clop, Royal, Cactus i Play.
Group-IB vjeruje da je haker filijala koja radi s višestrukim ransomware operacijama.
Cybleov nalaz, iako nije konačan, ukazuje na to da hakeri možda sprovode skeniranja ciljajući servere koristeći ranjivu verziju aiohttp biblioteke. Ostaje nepoznato da li se ova skeniranja pretvaraju u proboje ili ne.
Što se tiče površine napada, Cybleov internet skener ODIN pokazuje da postoji otprilike 44.170 instanci aiohttp izloženih internetu širom svijeta. Najviše (15,8%) nalazi se u Sjedinjenim Državama, a slijede Njemačka (8%), Španija (5,7%), Velika Britanija, Italija, Francuska, Rusija i Kina.
Izložene aiohttp instance (Cyble)
Verzija pokrenutih instanci izloženih internetu se ne može razaznati, što otežava određivanje broja ranjivih aiohttp servera.
Nažalost, biblioteke otvorenog koda se često koriste u zastarjelim verzijama na duži period zbog različitih praktičnih problema koji komplikuju njihovo lociranje i krpljenje.
To ih čini vrijednijim za hakere, koji ih koriste u napadima čak i nakon što su prošle godine od kada je postalo dostupno sigurnosno ažuriranje.
Izvor: BleepingComputer
