Sandro Sana : 18 Marzo 2024 11:40
È stato osservato che il gruppo di ransomware ‘ShadowSyndicate‘ sta effettuando scansioni per individuare server vulnerabili a CVE-2024-23334, una vulnerabilità di traversamento directory nella libreria Python aiohttp. Aiohttp è una libreria open-source basata sul framework di I/O asincrono di Python, Asyncio, utilizzata per gestire grandi quantità di richieste HTTP simultanee senza il tradizionale networking basato su thread. Questa libreria è utilizzata da aziende tecnologiche, sviluppatori web, ingegneri di backend e scienziati dei dati che desiderano creare applicazioni web ad alte prestazioni e servizi che aggregano dati da più API esterne.
Il 28 gennaio 2024, è stata rilasciata la versione 3.9.2 di aiohttp, che corregge CVE-2024-23334, una vulnerabilità di traversamento path di gravità elevata che colpisce tutte le versioni di aiohttp dalla 3.9.1 e precedenti, consentendo ad attaccanti remoti non autenticati di accedere a file su server vulnerabili. Questa falla è dovuta a una validazione inadeguata quando ‘follow_symlinks’ è impostato su ‘True’ per le rotte statiche, consentendo l’accesso non autorizzato a file al di fuori della directory radice statica del server.
Il 27 febbraio 2024, un ricercatore ha pubblicato un proof of concept (PoC) dell’exploit per CVE-2024-23334 su GitHub, mentre all’inizio di marzo è stato pubblicato su YouTube un video dettagliato che mostra le istruzioni passo-passo per l’exploit. Gli analisti delle minacce di Cyble riferiscono che i loro scanner hanno rilevato tentativi di sfruttamento di CVE-2024-23334 a partire dal 29 febbraio, con un aumento nella frequenza delle scansioni nel mese di marzo. I tentativi di scansione provengono da cinque indirizzi IP, uno dei quali è stato segnalato in un rapporto di settembre 2023 di Group-IB, che lo ha collegato al gruppo di ransomware ShadowSyndicate.
PARTE LA PROMO ESTATE -40%
RedHotCyber Academy lancia una promozione esclusiva e a tempo limitato per chi vuole investire nella propria crescita professionale nel mondo della tecnologia e della cybersecurity!
Approfitta del 40% di sconto sull’acquisto congiunto di 3 corsi da te scelti dalla nostra Academy. Ad esempio potresti fare un percorso formativo includendo Cyber Threat intelligence + NIS2 + Criptovalute con lo sconto del 40%. Tutto questo lo potrai fruire, dove e quando vuoi e con la massima flessibilità, grazie a lezioni di massimo 30 minuti ciascuna.
Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]
ShadowSyndicate è un gruppo di minacce opportunistiche a fini finanziari, attivo dal luglio 2022, che è stato collegato con vari gradi di certezza a varianti di ransomware come Quantum, Nokoyawa, BlackCat/ALPHV, Clop, Royal, Cactus e Play. Secondo Group-IB, il gruppo di minacce è un affiliato che lavora con diverse operazioni di ransomware. La scoperta di Cyble, sebbene non definitiva, indica che gli attori delle minacce potrebbero effettuare scansioni mirate a server che utilizzano una versione vulnerabile della libreria aiohttp. Al momento non è noto se queste scansioni si tradurranno in violazioni effettive.
Per quanto riguarda la superficie di attacco, lo scanner internet di Cyble, ODIN, mostra che ci sono circa 44.170 istanze di aiohttp esposte su Internet in tutto il mondo. La maggior parte di queste istanze (15,8%) si trova negli Stati Uniti, seguiti da Germania (8%), Spagna (5,7%), Regno Unito, Italia, Francia, Russia e Cina. Non è possibile determinare la versione delle istanze di aiohttp esposte su Internet, rendendo difficile stabilire il numero di server aiohttp vulnerabili. Purtroppo, le librerie open-source vengono spesso utilizzate in versioni obsolete per periodi prolungati a causa di vari problemi pratici che complicano la localizzazione e l’applicazione delle patch. Ciò le rende più preziose per gli attori delle minacce, che le sfruttano in attacchi anche dopo che sono passati anni dalla disponibilità di una patch di sicurezza.
In conclusione, gli hacker stanno sfruttando un bug nella libreria aiohttp per individuarereti vulnerabili. Questo bug, noto come CVE-2024-23334, consente ad attaccanti remoti non autenticati di accedere a file su server vulnerabili. La vulnerabilità è stata corretta con il rilascio della versione 3.9.2 di aiohttp, ma molti server potrebbero ancora utilizzare versioni più vecchie e vulnerabili della libreria.
Il gruppo di ransomware ShadowSyndicate è stato identificato come uno dei responsabili di questi attacchi. Le loro scansioni mirate ai server vulnerabili sono state rilevate dagli analisti delle minacce di Cyble. Sebbene non sia ancora chiaro se queste scansioni abbiano portato a violazioni effettive, è importante che le organizzazioni che utilizzano aiohttp verifichino e aggiornino le loro versioni per mitigare il rischio di essere colpiti da questo attacco.
È interessante notare che aiohttp è una libreria molto popolare utilizzata da diverse figure professionali, come sviluppatori web, ingegneri di backend e scienziati dei dati. È progettata per gestire grandi quantità di richieste HTTP simultanee senza l’utilizzo di thread tradizionali. Tuttavia, come dimostra questo attacco, anche le librerie open-source popolari possono presentare vulnerabilità che vengono sfruttate dagli hacker.
Per proteggersi da questo tipo di attacco, è fondamentale che le organizzazioni utilizzino le versioni più recenti delle librerie e che monitorino costantemente le vulnerabilità note. Aggiornare regolarmente le librerie e applicare le patch di sicurezza disponibili è un passo fondamentale per garantire la sicurezza delle reti e dei sistemi.
Gli hacker stanno sfruttando un bug nella libreria aiohttp per individuare reti vulnerabili. È importante che le organizzazioni verifichino e aggiornino le loro versioni di aiohttp per mitigare il rischio di essere colpiti da questo attacco. Mantenere le librerie e i sistemi aggiornati è fondamentale per garantire la sicureza delle reti e dei sistemi.
Sandro SanaUna nuova campagna malware per Android sta prendendo di mira i clienti bancari in Brasile, India e Sud-est asiatico, combinando frodi contactless NFC, intercettazione delle chiamate e sfruttamento del...
Google sta testando una nuova funzionalità per migliorare la privacy nella modalità di navigazione in incognito di Chrome su Windows: il blocco degli script in incognito (PrivacySandboxFinge...
Sembra che gli Stati Uniti abbiano già seriamente preso in considerazione il concetto di guerra autonoma. Il jet da combattimento autonomo della DARPA , risulta in grado di combattere senza pilot...
CrowdStrike ha pubblicato il suo Global Threat Report 2025, che documenta un balzo in avanti nel comportamento dei criminali informatici e dei gruppi statali. Gli esperti definiscono il 2024 “l...
Solamente due settimane fa, il robot umanoide prodotto da Figure ha destato in noi grande meraviglia, quando con destrezza ha preso degli indumenti da un paniere dei panni sporchi e li ha collocati al...
