Sandro Sana : 18 Marzo 2024 11:40
È stato osservato che il gruppo di ransomware ‘ShadowSyndicate‘ sta effettuando scansioni per individuare server vulnerabili a CVE-2024-23334, una vulnerabilità di traversamento directory nella libreria Python aiohttp. Aiohttp è una libreria open-source basata sul framework di I/O asincrono di Python, Asyncio, utilizzata per gestire grandi quantità di richieste HTTP simultanee senza il tradizionale networking basato su thread. Questa libreria è utilizzata da aziende tecnologiche, sviluppatori web, ingegneri di backend e scienziati dei dati che desiderano creare applicazioni web ad alte prestazioni e servizi che aggregano dati da più API esterne.
Il 28 gennaio 2024, è stata rilasciata la versione 3.9.2 di aiohttp, che corregge CVE-2024-23334, una vulnerabilità di traversamento path di gravità elevata che colpisce tutte le versioni di aiohttp dalla 3.9.1 e precedenti, consentendo ad attaccanti remoti non autenticati di accedere a file su server vulnerabili. Questa falla è dovuta a una validazione inadeguata quando ‘follow_symlinks’ è impostato su ‘True’ per le rotte statiche, consentendo l’accesso non autorizzato a file al di fuori della directory radice statica del server.
Il 27 febbraio 2024, un ricercatore ha pubblicato un proof of concept (PoC) dell’exploit per CVE-2024-23334 su GitHub, mentre all’inizio di marzo è stato pubblicato su YouTube un video dettagliato che mostra le istruzioni passo-passo per l’exploit. Gli analisti delle minacce di Cyble riferiscono che i loro scanner hanno rilevato tentativi di sfruttamento di CVE-2024-23334 a partire dal 29 febbraio, con un aumento nella frequenza delle scansioni nel mese di marzo. I tentativi di scansione provengono da cinque indirizzi IP, uno dei quali è stato segnalato in un rapporto di settembre 2023 di Group-IB, che lo ha collegato al gruppo di ransomware ShadowSyndicate.
Sponsorizza la prossima Red Hot Cyber Conference!
Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico.
Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un paccheto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale.
Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber.
Supporta RHC attraverso:
L'acquisto del fumetto sul Cybersecurity Awareness
Ascoltando i nostri Podcast
Seguendo RHC su WhatsApp
Seguendo RHC su Telegram
Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.
ShadowSyndicate è un gruppo di minacce opportunistiche a fini finanziari, attivo dal luglio 2022, che è stato collegato con vari gradi di certezza a varianti di ransomware come Quantum, Nokoyawa, BlackCat/ALPHV, Clop, Royal, Cactus e Play. Secondo Group-IB, il gruppo di minacce è un affiliato che lavora con diverse operazioni di ransomware. La scoperta di Cyble, sebbene non definitiva, indica che gli attori delle minacce potrebbero effettuare scansioni mirate a server che utilizzano una versione vulnerabile della libreria aiohttp. Al momento non è noto se queste scansioni si tradurranno in violazioni effettive.
Per quanto riguarda la superficie di attacco, lo scanner internet di Cyble, ODIN, mostra che ci sono circa 44.170 istanze di aiohttp esposte su Internet in tutto il mondo. La maggior parte di queste istanze (15,8%) si trova negli Stati Uniti, seguiti da Germania (8%), Spagna (5,7%), Regno Unito, Italia, Francia, Russia e Cina. Non è possibile determinare la versione delle istanze di aiohttp esposte su Internet, rendendo difficile stabilire il numero di server aiohttp vulnerabili. Purtroppo, le librerie open-source vengono spesso utilizzate in versioni obsolete per periodi prolungati a causa di vari problemi pratici che complicano la localizzazione e l’applicazione delle patch. Ciò le rende più preziose per gli attori delle minacce, che le sfruttano in attacchi anche dopo che sono passati anni dalla disponibilità di una patch di sicurezza.
In conclusione, gli hacker stanno sfruttando un bug nella libreria aiohttp per individuarereti vulnerabili. Questo bug, noto come CVE-2024-23334, consente ad attaccanti remoti non autenticati di accedere a file su server vulnerabili. La vulnerabilità è stata corretta con il rilascio della versione 3.9.2 di aiohttp, ma molti server potrebbero ancora utilizzare versioni più vecchie e vulnerabili della libreria.
Il gruppo di ransomware ShadowSyndicate è stato identificato come uno dei responsabili di questi attacchi. Le loro scansioni mirate ai server vulnerabili sono state rilevate dagli analisti delle minacce di Cyble. Sebbene non sia ancora chiaro se queste scansioni abbiano portato a violazioni effettive, è importante che le organizzazioni che utilizzano aiohttp verifichino e aggiornino le loro versioni per mitigare il rischio di essere colpiti da questo attacco.
È interessante notare che aiohttp è una libreria molto popolare utilizzata da diverse figure professionali, come sviluppatori web, ingegneri di backend e scienziati dei dati. È progettata per gestire grandi quantità di richieste HTTP simultanee senza l’utilizzo di thread tradizionali. Tuttavia, come dimostra questo attacco, anche le librerie open-source popolari possono presentare vulnerabilità che vengono sfruttate dagli hacker.
Per proteggersi da questo tipo di attacco, è fondamentale che le organizzazioni utilizzino le versioni più recenti delle librerie e che monitorino costantemente le vulnerabilità note. Aggiornare regolarmente le librerie e applicare le patch di sicurezza disponibili è un passo fondamentale per garantire la sicurezza delle reti e dei sistemi.
Gli hacker stanno sfruttando un bug nella libreria aiohttp per individuare reti vulnerabili. È importante che le organizzazioni verifichino e aggiornino le loro versioni di aiohttp per mitigare il rischio di essere colpiti da questo attacco. Mantenere le librerie e i sistemi aggiornati è fondamentale per garantire la sicureza delle reti e dei sistemi.
SAP ha reso disponibili degli aggiornamenti per la sicurezza Martedì, con l’obiettivo di risolvere varie vulnerabilità. Tra queste vulnerabilità, ve ne sono tre particolarmente critiche che si ve...
Ci stiamo avviando a passi da gigante vero l’uroboro, ovvero il serpente che mangia la sua stessa coda. Ne avevamo parlato qualche settimana fa che il traffico umano su internet è in calo vertigino...
A fine agosto, GreyNoise ha registrato un forte aumento dell’attività di scansione mirata ai dispositivi Cisco ASA. Gli esperti avvertono che tali ondate spesso precedono la scoperta di nuove vulne...
Con una drammatica inversione di tendenza, il Nepal ha revocato il blackout nazionale sui social media imposto la scorsa settimana dopo che aveva scatenato massicce proteste giovanili e causato almeno...
Le aziende italiane che utilizzano piattaforme di telefonia online (VoIP) basate su software open-source come Asterisk e Vicidial, si affidano a questi sistemi per contattare quotidianamente i cittadi...