Извършителят, стоящ зад ransomware операцията „ShadowSyndicate“ е наблюдаван да сканира за сървъри, уязвими към CVE-2024-23334 – уязвимост за обхождане на директории в библиотеката aiohttp Python.
Aiohttp е библиотека с отворен код, изградена върху асинхронната I/O рамка на Python, Asyncio, за обработка на големи количества едновременни HTTP заявки без традиционната мрежа, базирана на нишки.
Тя се използва от технологични фирми, уеб разработчици, бекенд инженери и специалисти по данни, които искат да създадат високопроизводителни уеб приложения и услуги, които обединяват данни от множество външни API.
На 28 януари 2024 г. aiohttp пусна версия 3.9.2, адресираща CVE-2024-23334, високосериозен недостатък при обхождане на пътища, засягащ всички версии на aiohttp от 3.9.1 и по-стари, който позволява на неавтентифицирани отдалечени атакуващи да получат достъп до файлове на уязвими сървъри.
Недостатъкът се дължи на неадекватно валидиране, когато ‘follow_symlinks’ е зададено на ‘True’ за статични маршрути, което позволява неоторизиран достъп до файлове извън статичната коренна директория на сървъра.
На 27 февруари 2024 г. изследовател публикува в GitHub доказателство за концептуален (PoC) експлойт за CVE-2024-23334, а в началото на март в YouTube беше публикуван подробен видеоклип, показващ инструкции за експлоатация стъпка по стъпка.
Анализаторите на заплахите на Cyble съобщават, че техните скенери са засекли опити за експлоатация, насочени към CVE-2024-23334, като са започнали на 29 февруари и са продължили с повишена скорост през март.
Опитите за сканиране произхождат от пет IP адреса, един от които е отбелязан в доклад на Group-IB от септември 2023 г., който го свързва със ShadowSyndicate ransomware.
ShadowSyndicate е опортюнистичен, финансово мотивиран участник в заплахи, активен от юли 2022 г., който е свързан с различна степен на достоверност с щамове на рансъмуер като Quantum, Nokoyawa, BlackCat/ALPHV, Clop, Royal, Cactus и Play.
Group-IB вярва, че заплахата е филиал, който работи с множество операции за получаване на откуп.
Констатацията на Cyble, макар и да не е окончателна, показва, че участниците в заплахата може да извършват сканирания, насочени към сървъри, използващи уязвима версия на библиотеката aiohttp. Дали тези сканирания ще се превърнат в пробиви, засега не е известно.
Що се отнася до повърхността на атаката, интернет скенерът ODIN на Cyble показва, че има приблизително 44 170 екземпляра на aiohttp, които са изложени на риск в интернет по целия свят. Повечето от тях (15,8%) се намират в САЩ, следвани от Германия (8%), Испания (5,7%), Обединеното кралство, Италия, Франция, Русия и Китай.
Не може да се различи версията, на която работят експонираните в интернет екземпляри, поради което е трудно да се определи броят на уязвимите aiohttp сървъри.
За съжаление библиотеките с отворен код често се използват в остарели версии за продължителни периоди от време поради различни практически проблеми, които усложняват намирането и коригирането им.
Това ги прави по-ценни за заплахите, които ги използват при атаки дори след като са минали години от предоставянето на актуализация на сигурността.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.