Af Eskil Sørensen, 19/03/24
Ransomware-aktøren ShadowSyndicate er observeret scanne efter servere, der er sårbare over for CVE-2024-23334, som er en ’directory traversal’-sårbarhed i aiohttp Python-biblioteket.
Det skriver Bleeping Computer.
Den 28. januar 2024 udgav aiohttp version 3.9.2. Det er en ny version af biblioteket, der adresserer CVE-2024-23334, som er den nævnte directory traversal-fejl. Sårbarheden har en CVSS-score på 7,5, og den påvirker alle versioner af aiohttp fra 3.9.1 og ældre. Sårbarheden gør det muligt for uautoriserede fjernangribere at få adgang til filer på sårbare servere.
Fejlen skyldes utilstrækkelig validering, når 'follow_symlinks' er sat til 'True' for ’static routes’, hvilket tillader den uautoriserede adgang til filer uden for serverens statiske root directory.
Den 27. februar 2024 udgav en researcher en proof of concept (PoC) udnyttelse for CVE-2024-23334 på GitHub, mens en detaljeret video, der viser trinvise instruktioner om udnyttelse, blev offentliggjort på YouTube i starten af marts.
Det er trusselsanalytikere fra cybersikkerhedsvirksomheden Cybles, der rapporterer, at deres scannere har fanget udnyttelsesforsøg rettet mod CVE-2024-23334. Scanningerne skal have startet den 29. februar og er blevet gradvist mere intensive ind i marts.
At Cybles kan kæde scanningerne sammen med ShadowSyndicate ransomware skyldes, at scanningsforsøgene kommer fra fem IP-adresser, hvoraf den ene blev tagget i en rapport fra september 2023 af Group-IB, som linkede den til ShadowSyndicate. Hvorvidt disse scanninger bliver til brud eller ej, er stadig ukendt på nuværende tidspunkt. Cybles internetscanner ODIN viser, at der er omkring 44.170 internet-eksponerede aiohttp-forekomster rundt om i verden. De fleste (15,8%) er placeret i USA, efterfulgt af Tyskland (8%), Spanien (5,7%), Storbritannien, Italien, Frankrig, Rusland og Kina.
Aiohttp er et open source-bibliotek, som er bygget oven på Pythons asynkrone I/O-ramme, Asyncio. Dets funktion er at håndtere store mængder samtidige HTTP-anmodninger uden traditionel trådbaseret netværk. Biblioteket bruges af teknologivirksomheder, webudviklere, backend-ingeniører og dataforskere, der ønsker at bygge high-performance webapplikationer og tjenester, der samler data fra flere eksterne API'er.
Bleeping Computer skriver, at open source-biblioteker ofte bruges i forældede versioner i længere perioder. Det gør dem mere værdifulde for trusselsaktører, som udnytter dem i angreb, selv flere år efter at en sikkerhedsopdatering et blevet gjort tilgængelig.
ShadowSyndicate er en opportunistisk, økonomisk motiveret trusselsaktør. Gruppen har været aktiv siden juli 2022 og sættes i forbindelse med ransomware-typer som Quantum, Nokoyawa, BlackCat/ALPHV, Clop, Royal, Cactus og Play.