AIOHTTP Python kütüphanesinde bir dizin geçiş güvenlik açığı olan CVE-2024-23334'e karşı savunmasız sunucular için fidye yazılımı aktörü 'Shadowsyndicate' taraması gözlendi.
AiOHTTP, geleneksel iş parçacığı tabanlı ağ olmadan büyük miktarlarda eşzamanlı HTTP isteklerini yerine getirmek için Python'un eşzamansız I/O çerçevesi Asyncio'nun üzerine inşa edilmiş açık kaynaklı bir kütüphanedir.
Teknoloji firmaları, web geliştiricileri, arka uç mühendisleri ve veri bilimcileri tarafından birden fazla harici API'den veri toplayan yüksek performanslı web uygulamaları ve hizmetleri oluşturmak isteyen veri bilimcileri tarafından kullanılır.
28 Ocak 2024'te AIOHTTP, AIOHTTP'nin 3.9.1 ve daha büyük olan tüm sürümlerini etkileyen yüksek şiddetli bir yol geçiş kusuru olan CVE-2024-23334'ü ele alan 3.9.2 sürümünü yayınladı.
Kusur, 'Takip_symLinks' statik yollar için 'True' olarak ayarlandığında, sunucunun statik kök dizininin dışındaki dosyalara yetkisiz erişim sağladığında yetersiz doğrulamadan kaynaklanır.
27 Şubat 2024'te, bir araştırmacı GitHub'da CVE-2024-23334 için bir Konsept Kanıtı (POC) istismarı yayınlarken, Mart başında YouTube'da adım adım sömürü talimatlarını gösteren ayrıntılı bir video yayınlandı.
Cyble'ın tehdit analistleri, tarayıcılarının 29 Şubat'tan itibaren CVE-2024-23334'ü hedefleyen ve Mart ayına kadar artan bir oranda devam eden sömürü girişimleri yakaladıklarını bildiriyor.
Tarama denemeleri, biri Group-IB tarafından SHADOWNDICE Fidye yazılımı aktörüne bağlanan bir Eylül 2023 raporunda etiketlenen beş IP adresinden kaynaklanmaktadır.
Shadowsyndicate, Temmuz 2022'den bu yana aktif olan ve Quantum, Nokoyawa, Blackcat/Alphv, Clop, Royal, Kaktüs ve Oyun gibi fidye yazılımı suşlarına çeşitli güvenlerle bağlantılı olan fırsatçı, finansal olarak motive edilmiş bir tehdit oyuncusudur.
Grup-Ib, tehdit oyuncusunun birden fazla fidye yazılımı işlemiyle çalışan bir bağlı kuruluş olduğuna inanıyor.
Cyble'ın bulgusu, kesin olmasa da, tehdit aktörlerinin AIOHTTP kütüphanesinin savunmasız bir sürümünü kullanarak sunucuları hedefleyen taramalar yapabileceğini gösterir. Bu taramaların ihlallere dönüşüp dönüşmediği şu anda bilinmemektedir.
Saldırı yüzeyi ile ilgili olarak, Cyble'ın internet tarayıcısı Odin, dünya çapında yaklaşık 44.170 internete maruz kalan AIOHTTP örneği olduğunu gösteriyor. Çoğu (%15.8) Amerika Birleşik Devletleri'nde, bunu Almanya (%8), İspanya (%5.7), İngiltere, İtalya, Fransa, Rusya ve Çin izlemektedir.
İnternete maruz kalan örneklerin sürümü ayırt edilemez, bu da savunmasız AIOHTTP sunucularının sayısını belirlemeyi zorlaştırır.
Ne yazık ki, açık kaynaklı kütüphaneler, bunların bulunmasını ve yamalanmasını zorlaştıran çeşitli pratik konular nedeniyle, modası geçmiş sürümlerde genellikle uzun süreler boyunca kullanılmaktadır.
Bu, bir güvenlik güncellemesi sunulmasından bu yana yıllar geçtikten sonra bile saldırılardan yararlanan tehdit aktörleri için onları daha değerli kılar.
Bilgisayar korsanları tuğlalarda kritik RCE kusurundan yararlanıyor WordPress site Builder
Exploit kodu ortaya çıktıkça şimdi saldırı altındaki kritik hatayı ek screencon
Bilgisayar korsanları, yeni DSLOG Backdoor'u dağıtmak için Ivanti SSRF Kusurdan İstismar
En yeni IVANTI SSRF ZERO-DAY Şimdi kitlesel sömürü altında
Bilgisayar korsanları, 1 milyon sitede etkin olan WordPress veritabanı eklentisini hedef
Kaynak: Bleeping Computer