黑客利用Aiohttp漏洞查找易受攻击的网络
2024-3-18 21:54:53 Author: mp.weixin.qq.com(查看原文) 阅读量:5 收藏

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

勒索团伙 “ShadowSyndicate” 被指正在扫描易受CVE-2024-23334 影响的服务器。该漏洞是位于 Python 库 aiohttp 中的一个目录遍历漏洞。

Aiohttp 是构建于 Python I/O 框架 Asyncio 之上的开源库,用于处理无需基于传统线程网络的大量并发HTTP请求。技术企业、web开发人员、后台工程师和数据科学家通过使用它来构建高性能的从多款外部API聚合数据的 web 应用和服务。

2024年1月28日,aiohttp 3.9.2版本发布,修复了高危路径遍历漏洞CVE-2024-23334。该漏洞影响 aiohttp 3.9.1及更老版本,可导致未认证远程攻击者访问易受攻击服务器上的文件。该漏洞产生的原因在于当 “follow_symlinks” 的静态路由设置为 “True” 时候验证不当,可导致对服务器静态root目录外部的文件进行越权访问。

2024年2月27日,研究员发布该漏洞的 PoC 利用。Cyble 公司的威胁分析人员报道称,他们的扫描器已经发现有人从2月29日开始展开利用尝试且这一趋势有所增加,一直持续到3月份。扫描尝试源自五个IP地址,其中一个是由 Group-IB 在2023年9月份发出的报告中标记,后者将其归咎于 ShadowSyndicate 勒索团伙。

ShadowSyndicate 是投机性质的、受经济利益驱动的威胁行动者,活跃于2022年7月,与多家勒索团伙有关,如 Quantum、Nokoyawa、BlackCat、ALPHV、Clop、Royal、Cactus 和 Play。

Group-IB 公司认为ShadowSyndicate与多起勒索活动有关。虽然 Cyble 公司的研究结果并不肯定,但说明该勒索团伙正在使用易受攻击的 aiohttp 库尝试扫描服务器。这些扫描活动是否已转化为攻陷活动尚不清楚。

鉴于该攻击面,Cyble 公司的互联网扫描器ODIN表明全球共有约44170个被暴露在互联网上的 aiohttp 实例,多数位于美国 (15.8%),其次是德国 (8%)、西班牙 (5.7%)、英国、意大利、法国、俄罗斯。这些实例所运行的版本无法识别,因此很难判断易受攻击 aiohttp 服务器的数量。

遗憾的是,由于多种实践问题加剧了定位和打补丁的复杂性,开源库通常用于过时版本中。这就使得开源库更加易受攻击,即使在安全更新已推出数年时间的情况下,仍然被用于攻击活动中。

代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com

推荐阅读

CISA:注意 Chrome 和 Excel 解析库中已遭利用的开源漏洞

软件供应链投毒 — NPM 恶意组件分析(二)

速修复!开源防火墙软件pfSense 中存在多个漏洞

开源文件共享软件 ownCloud 中存在3个严重漏洞,可导致信息泄露和文件修改

原文链接
https://www.bleepingcomputer.com/news/security/hackers-exploit-aiohttp-bug-to-find-vulnerable-networks/

题图:Pexels License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "” 吧~


文章来源: https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247519086&idx=1&sn=d48ef4167396f1679a0061389651658f&chksm=ea94ba04dde3331297fb3d893faba24d00497bf36da2a7654a5c7d241280b0f52c9fd5b1848b&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh