Sandro Sana : 18 Marzo 2024 11:40
È stato osservato che il gruppo di ransomware ‘ShadowSyndicate‘ sta effettuando scansioni per individuare server vulnerabili a CVE-2024-23334, una vulnerabilità di traversamento directory nella libreria Python aiohttp. Aiohttp è una libreria open-source basata sul framework di I/O asincrono di Python, Asyncio, utilizzata per gestire grandi quantità di richieste HTTP simultanee senza il tradizionale networking basato su thread. Questa libreria è utilizzata da aziende tecnologiche, sviluppatori web, ingegneri di backend e scienziati dei dati che desiderano creare applicazioni web ad alte prestazioni e servizi che aggregano dati da più API esterne.
Il 28 gennaio 2024, è stata rilasciata la versione 3.9.2 di aiohttp, che corregge CVE-2024-23334, una vulnerabilità di traversamento path di gravità elevata che colpisce tutte le versioni di aiohttp dalla 3.9.1 e precedenti, consentendo ad attaccanti remoti non autenticati di accedere a file su server vulnerabili. Questa falla è dovuta a una validazione inadeguata quando ‘follow_symlinks’ è impostato su ‘True’ per le rotte statiche, consentendo l’accesso non autorizzato a file al di fuori della directory radice statica del server.
Il 27 febbraio 2024, un ricercatore ha pubblicato un proof of concept (PoC) dell’exploit per CVE-2024-23334 su GitHub, mentre all’inizio di marzo è stato pubblicato su YouTube un video dettagliato che mostra le istruzioni passo-passo per l’exploit. Gli analisti delle minacce di Cyble riferiscono che i loro scanner hanno rilevato tentativi di sfruttamento di CVE-2024-23334 a partire dal 29 febbraio, con un aumento nella frequenza delle scansioni nel mese di marzo. I tentativi di scansione provengono da cinque indirizzi IP, uno dei quali è stato segnalato in un rapporto di settembre 2023 di Group-IB, che lo ha collegato al gruppo di ransomware ShadowSyndicate.
 Scarica Gratuitamente Byte The Silence, il fumetto sul Cyberbullismo di Red Hot Cyber"Il cyberbullismo è una delle minacce più insidiose e silenziose che colpiscono i nostri ragazzi. Non si tratta di semplici "bravate online", ma di veri e propri atti di violenza digitale, capaci di lasciare ferite profonde e spesso irreversibili nell’animo delle vittime. Non possiamo più permetterci di chiudere gli occhi". Così si apre la prefazione del fumetto di Massimiliano Brolli, fondatore di Red Hot Cyber, un’opera che affronta con sensibilità e realismo uno dei temi più urgenti della nostra epoca. Distribuito gratuitamente, questo fumetto nasce con l'obiettivo di sensibilizzare e informare. È uno strumento pensato per scuole, insegnanti, genitori e vittime, ma anche per chi, per qualsiasi ragione, si è ritrovato nel ruolo del bullo, affinché possa comprendere, riflettere e cambiare. Con la speranza che venga letto, condiviso e discusso, Red Hot Cyber è orgogliosa di offrire un contributo concreto per costruire una cultura digitale più consapevole, empatica e sicura. Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
ShadowSyndicate è un gruppo di minacce opportunistiche a fini finanziari, attivo dal luglio 2022, che è stato collegato con vari gradi di certezza a varianti di ransomware come Quantum, Nokoyawa, BlackCat/ALPHV, Clop, Royal, Cactus e Play. Secondo Group-IB, il gruppo di minacce è un affiliato che lavora con diverse operazioni di ransomware. La scoperta di Cyble, sebbene non definitiva, indica che gli attori delle minacce potrebbero effettuare scansioni mirate a server che utilizzano una versione vulnerabile della libreria aiohttp. Al momento non è noto se queste scansioni si tradurranno in violazioni effettive.
Per quanto riguarda la superficie di attacco, lo scanner internet di Cyble, ODIN, mostra che ci sono circa 44.170 istanze di aiohttp esposte su Internet in tutto il mondo. La maggior parte di queste istanze (15,8%) si trova negli Stati Uniti, seguiti da Germania (8%), Spagna (5,7%), Regno Unito, Italia, Francia, Russia e Cina. Non è possibile determinare la versione delle istanze di aiohttp esposte su Internet, rendendo difficile stabilire il numero di server aiohttp vulnerabili. Purtroppo, le librerie open-source vengono spesso utilizzate in versioni obsolete per periodi prolungati a causa di vari problemi pratici che complicano la localizzazione e l’applicazione delle patch. Ciò le rende più preziose per gli attori delle minacce, che le sfruttano in attacchi anche dopo che sono passati anni dalla disponibilità di una patch di sicurezza.
In conclusione, gli hacker stanno sfruttando un bug nella libreria aiohttp per individuarereti vulnerabili. Questo bug, noto come CVE-2024-23334, consente ad attaccanti remoti non autenticati di accedere a file su server vulnerabili. La vulnerabilità è stata corretta con il rilascio della versione 3.9.2 di aiohttp, ma molti server potrebbero ancora utilizzare versioni più vecchie e vulnerabili della libreria.
Il gruppo di ransomware ShadowSyndicate è stato identificato come uno dei responsabili di questi attacchi. Le loro scansioni mirate ai server vulnerabili sono state rilevate dagli analisti delle minacce di Cyble. Sebbene non sia ancora chiaro se queste scansioni abbiano portato a violazioni effettive, è importante che le organizzazioni che utilizzano aiohttp verifichino e aggiornino le loro versioni per mitigare il rischio di essere colpiti da questo attacco.
È interessante notare che aiohttp è una libreria molto popolare utilizzata da diverse figure professionali, come sviluppatori web, ingegneri di backend e scienziati dei dati. È progettata per gestire grandi quantità di richieste HTTP simultanee senza l’utilizzo di thread tradizionali. Tuttavia, come dimostra questo attacco, anche le librerie open-source popolari possono presentare vulnerabilità che vengono sfruttate dagli hacker.
Per proteggersi da questo tipo di attacco, è fondamentale che le organizzazioni utilizzino le versioni più recenti delle librerie e che monitorino costantemente le vulnerabilità note. Aggiornare regolarmente le librerie e applicare le patch di sicurezza disponibili è un passo fondamentale per garantire la sicurezza delle reti e dei sistemi.
Gli hacker stanno sfruttando un bug nella libreria aiohttp per individuare reti vulnerabili. È importante che le organizzazioni verifichino e aggiornino le loro versioni di aiohttp per mitigare il rischio di essere colpiti da questo attacco. Mantenere le librerie e i sistemi aggiornati è fondamentale per garantire la sicureza delle reti e dei sistemi.
Sandro SanaPer tre giorni consecutivi, dal 19 al 22 ottobre, il Comune di Caponago è rimasto isolato dal web a causa di un insolito incidente: una volpe è finita in un pozzetto della rete telefonica, danneggia...
Un’allerta globale è stata lanciata dalla Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti, riguardante lo sfruttamento attivo di una falla critica di esecuzione di codice ...
Lunedì 20 ottobre, Channel 4 ha trasmesso un documentario completo condotto da un presentatore televisivo creativo integralmente dall’intelligenza artificiale. “Non sono reale. Per la prima volta...
L’ecosistema del cybercrimine russo è entrato in una fase di profonda mutazione, innescata da una combinazione di fattori: una pressione internazionale senza precedenti da parte delle forze dell’...
I ricercatori della sicurezza hanno scoperto delle vulnerabilità in un sito web della FIA che conteneva informazioni personali sensibili e documenti relativi ai piloti, tra cui il campione del mondo ...
