Търсене
Close this search box.

Хакерите използват грешката Aiohttp при търсенето на уязвими мрежи

Извършителят, стоящ зад  ransomware операцията „ShadowSyndicate“ е наблюдаван да сканира за сървъри, уязвими към CVE-2024-23334 – уязвимост за обхождане на директории в библиотеката aiohttp Python.

Aiohttp е библиотека с отворен код, изградена върху асинхронната I/O рамка на Python, Asyncio, за обработка на големи количества едновременни HTTP заявки без традиционната мрежа, базирана на нишки.

Тя се използва от технологични фирми, уеб разработчици, бекенд инженери и специалисти по данни, които искат да създадат високопроизводителни уеб приложения и услуги, които обединяват данни от множество външни API.

На 28 януари 2024 г. aiohttp пусна версия 3.9.2, адресираща CVE-2024-23334, високосериозен недостатък при обхождане на пътища, засягащ всички версии на aiohttp от 3.9.1 и по-стари, който позволява на неавтентифицирани отдалечени атакуващи да получат достъп до файлове на уязвими сървъри.

Недостатъкът се дължи на неадекватно валидиране, когато ‘follow_symlinks’ е зададено на ‘True’ за статични маршрути, което позволява неоторизиран достъп до файлове извън статичната коренна директория на сървъра.

На 27 февруари 2024 г. изследовател публикува в GitHub доказателство за концептуален (PoC) експлойт за CVE-2024-23334, а в началото на март в YouTube беше публикуван подробен видеоклип, показващ инструкции за експлоатация стъпка по стъпка.

Анализаторите на заплахите на Cyble съобщават, че техните скенери са засекли опити за експлоатация, насочени към CVE-2024-23334, като са започнали на 29 февруари и са продължили с повишена скорост през март.

Опитите за сканиране произхождат от пет IP адреса, един от които е отбелязан в доклад на Group-IB от септември 2023 г., който го свързва със  ShadowSyndicate ransomware.

ShadowSyndicate е опортюнистичен, финансово мотивиран участник в заплахи, активен от юли 2022 г., който е свързан с различна степен на достоверност с щамове на рансъмуер като Quantum, Nokoyawa, BlackCat/ALPHV, Clop, Royal, Cactus и Play.

Group-IB вярва, че заплахата е филиал, който работи с множество операции за получаване на откуп.

Констатацията на Cyble, макар и да не е окончателна, показва, че участниците в заплахата може да извършват сканирания, насочени към сървъри, използващи уязвима версия на библиотеката aiohttp. Дали тези сканирания ще се превърнат в пробиви, засега не е известно.

Що се отнася до повърхността на атаката, интернет скенерът ODIN на Cyble показва, че има приблизително 44 170 екземпляра на aiohttp, които са изложени на риск в интернет по целия свят. Повечето от тях (15,8%) се намират в САЩ, следвани от Германия (8%), Испания (5,7%), Обединеното кралство, Италия, Франция, Русия и Китай.
Не може да се различи версията, на която работят експонираните в интернет екземпляри, поради което е трудно да се определи броят на уязвимите aiohttp сървъри.

За съжаление библиотеките с отворен код често се използват в остарели версии за продължителни периоди от време поради различни практически проблеми, които усложняват намирането и коригирането им.

Това ги прави по-ценни за  заплахите, които ги използват при атаки дори след като са минали години от предоставянето на актуализация на сигурността.

 

 

 

Източник: По материали от Интернет

Подобни публикации

14 април 2024

MuddyWater приемат нов C2 инструмент "DarkBeatC...

Иранският участник в заплахите, известен като MuddyWater, е причисл...
14 април 2024

Критичен недостатък на Palo Alto Networks PAN-O...

Palo Alto Networks предупреждава, че критичен недостатък, засягащ с...
13 април 2024

Подъл скимер на кредитни карти, маскиран като б...

Изследователи в областта на киберсигурността са открили скимиращо у...
13 април 2024

На федералните агенции на САЩ е наредено да тър...

В четвъртък Агенцията за киберсигурност и инфраструктурна сигурност...
13 април 2024

Latrodectus продължава там, където QBot спря

Брокерите за първоначален достъп използват новия зловреден софтуер ...
12 април 2024

Oracle увеличава усилията си в областта на суве...

Техническият директор и председател на Oracle Лари Елисън очаква пр...
12 април 2024

Глобиха AWS с над 1 млрд. лева

Съдебните заседатели установиха, че AWS е нарушила правата на собст...
12 април 2024

Magecart са пионери в областта на устойчивата з...

Печално известната киберпрестъпна организация, занимаваща се със ск...
11 април 2024

CISA нарежда на агенциите, засегнати от хакерск...

CISA издаде нова спешна директива, с която нарежда на федералните а...
Бъдете социални
Още по темата
07/04/2024

92 000 NAS устройства на D-...

Изследовател на заплахи е разкрил нов...
27/03/2024

CISA предупреждава за недо...

В понеделник Американската агенция за киберсигурност...
27/03/2024

TheMoon проби хиляди рутери...

Забелязан е нов вариант на зловредния...
Последно добавени
14/04/2024

MuddyWater приемат нов C2 и...

Иранският участник в заплахите, известен като...
14/04/2024

Критичен недостатък на Palo...

Palo Alto Networks предупреждава, че критичен...
13/04/2024

Подъл скимер на кредитни ка...

Изследователи в областта на киберсигурността са...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!