Търсене
Close this search box.

Извършителят, стоящ зад  ransomware операцията „ShadowSyndicate“ е наблюдаван да сканира за сървъри, уязвими към CVE-2024-23334 – уязвимост за обхождане на директории в библиотеката aiohttp Python.

Aiohttp е библиотека с отворен код, изградена върху асинхронната I/O рамка на Python, Asyncio, за обработка на големи количества едновременни HTTP заявки без традиционната мрежа, базирана на нишки.

Тя се използва от технологични фирми, уеб разработчици, бекенд инженери и специалисти по данни, които искат да създадат високопроизводителни уеб приложения и услуги, които обединяват данни от множество външни API.

На 28 януари 2024 г. aiohttp пусна версия 3.9.2, адресираща CVE-2024-23334, високосериозен недостатък при обхождане на пътища, засягащ всички версии на aiohttp от 3.9.1 и по-стари, който позволява на неавтентифицирани отдалечени атакуващи да получат достъп до файлове на уязвими сървъри.

Недостатъкът се дължи на неадекватно валидиране, когато ‘follow_symlinks’ е зададено на ‘True’ за статични маршрути, което позволява неоторизиран достъп до файлове извън статичната коренна директория на сървъра.

На 27 февруари 2024 г. изследовател публикува в GitHub доказателство за концептуален (PoC) експлойт за CVE-2024-23334, а в началото на март в YouTube беше публикуван подробен видеоклип, показващ инструкции за експлоатация стъпка по стъпка.

Анализаторите на заплахите на Cyble съобщават, че техните скенери са засекли опити за експлоатация, насочени към CVE-2024-23334, като са започнали на 29 февруари и са продължили с повишена скорост през март.

Опитите за сканиране произхождат от пет IP адреса, един от които е отбелязан в доклад на Group-IB от септември 2023 г., който го свързва със  ShadowSyndicate ransomware.

ShadowSyndicate е опортюнистичен, финансово мотивиран участник в заплахи, активен от юли 2022 г., който е свързан с различна степен на достоверност с щамове на рансъмуер като Quantum, Nokoyawa, BlackCat/ALPHV, Clop, Royal, Cactus и Play.

Group-IB вярва, че заплахата е филиал, който работи с множество операции за получаване на откуп.

Констатацията на Cyble, макар и да не е окончателна, показва, че участниците в заплахата може да извършват сканирания, насочени към сървъри, използващи уязвима версия на библиотеката aiohttp. Дали тези сканирания ще се превърнат в пробиви, засега не е известно.

Що се отнася до повърхността на атаката, интернет скенерът ODIN на Cyble показва, че има приблизително 44 170 екземпляра на aiohttp, които са изложени на риск в интернет по целия свят. Повечето от тях (15,8%) се намират в САЩ, следвани от Германия (8%), Испания (5,7%), Обединеното кралство, Италия, Франция, Русия и Китай.
Не може да се различи версията, на която работят експонираните в интернет екземпляри, поради което е трудно да се определи броят на уязвимите aiohttp сървъри.

За съжаление библиотеките с отворен код често се използват в остарели версии за продължителни периоди от време поради различни практически проблеми, които усложняват намирането и коригирането им.

Това ги прави по-ценни за  заплахите, които ги използват при атаки дори след като са минали години от предоставянето на актуализация на сигурността.

 

 

 

Източник: По материали от Интернет

Подобни публикации

16 септември 2024

Може ли дълбоките технологии да бъдат следващия...

В началото на 2000-те години Естония бързо се модернизира, отърсвай...
16 септември 2024

Отборите от NFL блокират кибератаките в дигитал...

През изминалия уикенд Националната футболна лига стартира своя сезо...
16 септември 2024

Google прави големи разходи за технология за ул...

Технологичният гигант сключи нова сделка за  улавяне на 100 000 тон...
16 септември 2024

Всичко, което трябва да знаете за поредния проб...

Fortinet твърди, че няма доказателства за злонамерена дейност, насо...
16 септември 2024

Canva се похвали с новите си функции, след коет...

Цените на абонамента за Canva ще се повишат за корпоративните потре...
16 септември 2024

Уязвимостта на Windows злоупотребява с брайлови...

Неотдавна поправената уязвимост „Windows MSHTML spoofing vulnerabil...
Бъдете социални
Още по темата
07/09/2024

Нова уязвимост на защитната...

SonicWall предупреждава клиентите си, че наскоро...
05/09/2024

D-Link предупреждава за деф...

През уикенда производителят на мрежов хардуер...
02/09/2024

Тази нова Wi-Fi атака може ...

Нарастващата сложност на мрежите и свързаните...
Последно добавени
16/09/2024

Може ли дълбоките технологи...

В началото на 2000-те години Естония...
16/09/2024

Отборите от NFL блокират ки...

През изминалия уикенд Националната футболна лига...
16/09/2024

Google прави големи разходи...

Технологичният гигант сключи нова сделка за ...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!