Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Attacco in Corso: i black-hacker sfruttano il bug critico nella Libreria AIOHTTP – Cosa Devi Sapere

Sandro Sana : 18 Marzo 2024 11:40

È stato osservato che il gruppo di ransomwareShadowSyndicate‘ sta effettuando scansioni per individuare server vulnerabili a CVE-2024-23334, una vulnerabilità di traversamento directory nella libreria Python aiohttp. Aiohttp è una libreria open-source basata sul framework di I/O asincrono di Python, Asyncio, utilizzata per gestire grandi quantità di richieste HTTP simultanee senza il tradizionale networking basato su thread. Questa libreria è utilizzata da aziende tecnologiche, sviluppatori web, ingegneri di backend e scienziati dei dati che desiderano creare applicazioni web ad alte prestazioni e servizi che aggregano dati da più API esterne.

Il 28 gennaio 2024, è stata rilasciata la versione 3.9.2 di aiohttp, che corregge CVE-2024-23334, una vulnerabilità di traversamento path di gravità elevata che colpisce tutte le versioni di aiohttp dalla 3.9.1 e precedenti, consentendo ad attaccanti remoti non autenticati di accedere a file su server vulnerabili. Questa falla è dovuta a una validazione inadeguata quando ‘follow_symlinks’ è impostato su ‘True’ per le rotte statiche, consentendo l’accesso non autorizzato a file al di fuori della directory radice statica del server.

Il 27 febbraio 2024, un ricercatore ha pubblicato un proof of concept (PoC) dell’exploit per CVE-2024-23334 su GitHub, mentre all’inizio di marzo è stato pubblicato su YouTube un video dettagliato che mostra le istruzioni passo-passo per l’exploit. Gli analisti delle minacce di Cyble riferiscono che i loro scanner hanno rilevato tentativi di sfruttamento di CVE-2024-23334 a partire dal 29 febbraio, con un aumento nella frequenza delle scansioni nel mese di marzo. I tentativi di scansione provengono da cinque indirizzi IP, uno dei quali è stato segnalato in un rapporto di settembre 2023 di Group-IB, che lo ha collegato al gruppo di ransomware ShadowSyndicate.

Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?

Stiamo per avviare il corso intermedio in modalità "Live Class" del corso "Dark Web & Cyber Threat Intelligence". 
A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.  
Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato.
Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile. 
Guarda subito l'anteprima gratuita del corso su academy.redhotcyber.com
Contattaci per ulteriori informazioni tramite WhatsApp al 375 593 1011 oppure scrivi a [email protected]



Supporta RHC attraverso:
 

  1. L'acquisto del fumetto sul Cybersecurity Awareness
  2. Ascoltando i nostri Podcast
  3. Seguendo RHC su WhatsApp
  4. Seguendo RHC su Telegram
  5. Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber

Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.
 

ShadowSyndicate è un gruppo di minacce opportunistiche a fini finanziari, attivo dal luglio 2022, che è stato collegato con vari gradi di certezza a varianti di ransomware come Quantum, Nokoyawa, BlackCat/ALPHV, Clop, Royal, Cactus e Play. Secondo Group-IB, il gruppo di minacce è un affiliato che lavora con diverse operazioni di ransomware. La scoperta di Cyble, sebbene non definitiva, indica che gli attori delle minacce potrebbero effettuare scansioni mirate a server che utilizzano una versione vulnerabile della libreria aiohttp. Al momento non è noto se queste scansioni si tradurranno in violazioni effettive.

Per quanto riguarda la superficie di attacco, lo scanner internet di Cyble, ODIN, mostra che ci sono circa 44.170 istanze di aiohttp esposte su Internet in tutto il mondo. La maggior parte di queste istanze (15,8%) si trova negli Stati Uniti, seguiti da Germania (8%), Spagna (5,7%), Regno Unito, Italia, Francia, Russia e Cina. Non è possibile determinare la versione delle istanze di aiohttp esposte su Internet, rendendo difficile stabilire il numero di server aiohttp vulnerabili. Purtroppo, le librerie open-source vengono spesso utilizzate in versioni obsolete per periodi prolungati a causa di vari problemi pratici che complicano la localizzazione e l’applicazione delle patch. Ciò le rende più preziose per gli attori delle minacce, che le sfruttano in attacchi anche dopo che sono passati anni dalla disponibilità di una patch di sicurezza.

In conclusione, gli hacker stanno sfruttando un bug nella libreria aiohttp per individuarereti vulnerabili. Questo bug, noto come CVE-2024-23334, consente ad attaccanti remoti non autenticati di accedere a file su server vulnerabili. La vulnerabilità è stata corretta con il rilascio della versione 3.9.2 di aiohttp, ma molti server potrebbero ancora utilizzare versioni più vecchie e vulnerabili della libreria.

Il gruppo di ransomware ShadowSyndicate è stato identificato come uno dei responsabili di questi attacchi. Le loro scansioni mirate ai server vulnerabili sono state rilevate dagli analisti delle minacce di Cyble. Sebbene non sia ancora chiaro se queste scansioni abbiano portato a violazioni effettive, è importante che le organizzazioni che utilizzano aiohttp verifichino e aggiornino le loro versioni per mitigare il rischio di essere colpiti da questo attacco.

È interessante notare che aiohttp è una libreria molto popolare utilizzata da diverse figure professionali, come sviluppatori web, ingegneri di backend e scienziati dei dati. È progettata per gestire grandi quantità di richieste HTTP simultanee senza l’utilizzo di thread tradizionali. Tuttavia, come dimostra questo attacco, anche le librerie open-source popolari possono presentare vulnerabilità che vengono sfruttate dagli hacker.

Per proteggersi da questo tipo di attacco, è fondamentale che le organizzazioni utilizzino le versioni più recenti delle librerie e che monitorino costantemente le vulnerabilità note. Aggiornare regolarmente le librerie e applicare le patch di sicurezza disponibili è un passo fondamentale per garantire la sicurezza delle reti e dei sistemi.

Gli hacker stanno sfruttando un bug nella libreria aiohttp per individuare reti vulnerabili. È importante che le organizzazioni verifichino e aggiornino le loro versioni di aiohttp per mitigare il rischio di essere colpiti da questo attacco. Mantenere le librerie e i sistemi aggiornati è fondamentale per garantire la sicureza delle reti e dei sistemi.

Sandro Sana
Membro del gruppo di Red Hot Cyber Dark Lab e direttore del Red Hot Cyber PodCast. Si occupa d'Information Technology dal 1990 e di Cybersecurity dal 2014 (CEH - CIH - CISSP - CSIRT Manager - CTI Expert), relatore a SMAU 2017 e SMAU 2018, docente SMAU Academy & ITS, membro ISACA. Fa parte del Comitato Scientifico del Competence Center nazionale Cyber 4.0, dove contribuisce all’indirizzo strategico delle attività di ricerca, formazione e innovazione nella cybersecurity.

Lista degli articoli
Visita il sito web dell'autore

Articoli in evidenza

Addio star di carne e ossa? Arriva Tilly Norwood, la prima attrice AI!
Di Redazione RHC - 30/09/2025

In un settore un tempo dominato da star dal vivo, i personaggi digitali si stanno facendo sempre più strada. Durante un summit a Zurigo, Ellin van der Velden, attrice, comica e tecnologa, ha annuncia...

Da user a root in un secondo! il CISA avverte: milioni di OS a rischio. Patchate!
Di Redazione RHC - 30/09/2025

La Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ha aggiunto una vulnerabilità critica nella popolare utility Sudo, utilizzata su sistemi Linux e Unix-like, al suo catalog...

Gestione della crisi digitale: la comunicazione è la chiave tra successo o fallimento
Di Redazione RHC - 30/09/2025

Negli ultimi anni gli attacchi informatici sono diventati una delle principali minacce per le aziende, indipendentemente dal settore. Se i reparti tecnici si concentrano sulla risoluzione dei problemi...

Un’estensione barzelletta e cade Chat Control! Houston, abbiamo un problema… di privacy
Di Sergio Corpettini - 30/09/2025

Nel 2025 l’Unione Europea vuole avere il controllo totale sulle chat private. Il Regolamento “Chat Control” (proposta COM(2022)209) promette di combattere la pornografia minorile con la scansion...

0-day 0-click su WhatsApp! un’immagine basta per prendere il controllo del tuo iPhone
Di Redazione RHC - 29/09/2025

Qualche produttore di spyware starà probabilmente facendo ginnastica… strappandosi i capelli. Ma ormai è il solito teatrino: c’è chi trova, chi incassa, chi integra e poi arriva il ricercatore ...