Attacco in Corso: i black-hacker sfruttano il bug critico nella Libreria AIOHTTP – Cosa Devi Sapere

È stato osservato che il gruppo di ransomware ‘ShadowSyndicate‘ sta effettuando scansioni per individuare server vulnerabili a CVE-2024-23334, una vulnerabilità di traversamento directory nella libreria Python aiohttp. Aiohttp è una libreria open-source basata sul framework di I/O asincrono di Python, Asyncio, utilizzata per gestire grandi quantità di richieste HTTP simultanee senza il tradizionale networking basato su thread. Questa libreria è utilizzata da aziende tecnologiche, sviluppatori web, ingegneri di backend e scienziati dei dati che desiderano creare applicazioni web ad alte prestazioni e servizi che aggregano dati da più API esterne.

Il 28 gennaio 2024, è stata rilasciata la versione 3.9.2 di aiohttp, che corregge CVE-2024-23334, una vulnerabilità di traversamento path di gravità elevata che colpisce tutte le versioni di aiohttp dalla 3.9.1 e precedenti, consentendo ad attaccanti remoti non autenticati di accedere a file su server vulnerabili. Questa falla è dovuta a una validazione inadeguata quando ‘follow_symlinks’ è impostato su ‘True’ per le rotte statiche, consentendo l’accesso non autorizzato a file al di fuori della directory radice statica del server.

Il 27 febbraio 2024, un ricercatore ha pubblicato un proof of concept (PoC) dell’exploit per CVE-2024-23334 su GitHub, mentre all’inizio di marzo è stato pubblicato su YouTube un video dettagliato che mostra le istruzioni passo-passo per l’exploit. Gli analisti delle minacce di Cyble riferiscono che i loro scanner hanno rilevato tentativi di sfruttamento di CVE-2024-23334 a partire dal 29 febbraio, con un aumento nella frequenza delle scansioni nel mese di marzo. I tentativi di scansione provengono da cinque indirizzi IP, uno dei quali è stato segnalato in un rapporto di settembre 2023 di Group-IB, che lo ha collegato al gruppo di ransomware ShadowSyndicate.

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

ShadowSyndicate è un gruppo di minacce opportunistiche a fini finanziari, attivo dal luglio 2022, che è stato collegato con vari gradi di certezza a varianti di ransomware come Quantum, Nokoyawa, BlackCat/ALPHV, Clop, Royal, Cactus e Play. Secondo Group-IB, il gruppo di minacce è un affiliato che lavora con diverse operazioni di ransomware. La scoperta di Cyble, sebbene non definitiva, indica che gli attori delle minacce potrebbero effettuare scansioni mirate a server che utilizzano una versione vulnerabile della libreria aiohttp. Al momento non è noto se queste scansioni si tradurranno in violazioni effettive.

Per quanto riguarda la superficie di attacco, lo scanner internet di Cyble, ODIN, mostra che ci sono circa 44.170 istanze di aiohttp esposte su Internet in tutto il mondo. La maggior parte di queste istanze (15,8%) si trova negli Stati Uniti, seguiti da Germania (8%), Spagna (5,7%), Regno Unito, Italia, Francia, Russia e Cina. Non è possibile determinare la versione delle istanze di aiohttp esposte su Internet, rendendo difficile stabilire il numero di server aiohttp vulnerabili. Purtroppo, le librerie open-source vengono spesso utilizzate in versioni obsolete per periodi prolungati a causa di vari problemi pratici che complicano la localizzazione e l’applicazione delle patch. Ciò le rende più preziose per gli attori delle minacce, che le sfruttano in attacchi anche dopo che sono passati anni dalla disponibilità di una patch di sicurezza.

In conclusione, gli hacker stanno sfruttando un bug nella libreria aiohttp per individuarereti vulnerabili. Questo bug, noto come CVE-2024-23334, consente ad attaccanti remoti non autenticati di accedere a file su server vulnerabili. La vulnerabilità è stata corretta con il rilascio della versione 3.9.2 di aiohttp, ma molti server potrebbero ancora utilizzare versioni più vecchie e vulnerabili della libreria.

Il gruppo di ransomware ShadowSyndicate è stato identificato come uno dei responsabili di questi attacchi. Le loro scansioni mirate ai server vulnerabili sono state rilevate dagli analisti delle minacce di Cyble. Sebbene non sia ancora chiaro se queste scansioni abbiano portato a violazioni effettive, è importante che le organizzazioni che utilizzano aiohttp verifichino e aggiornino le loro versioni per mitigare il rischio di essere colpiti da questo attacco.

È interessante notare che aiohttp è una libreria molto popolare utilizzata da diverse figure professionali, come sviluppatori web, ingegneri di backend e scienziati dei dati. È progettata per gestire grandi quantità di richieste HTTP simultanee senza l’utilizzo di thread tradizionali. Tuttavia, come dimostra questo attacco, anche le librerie open-source popolari possono presentare vulnerabilità che vengono sfruttate dagli hacker.

Per proteggersi da questo tipo di attacco, è fondamentale che le organizzazioni utilizzino le versioni più recenti delle librerie e che monitorino costantemente le vulnerabilità note. Aggiornare regolarmente le librerie e applicare le patch di sicurezza disponibili è un passo fondamentale per garantire la sicurezza delle reti e dei sistemi.

Gli hacker stanno sfruttando un bug nella libreria aiohttp per individuare reti vulnerabili. È importante che le organizzazioni verifichino e aggiornino le loro versioni di aiohttp per mitigare il rischio di essere colpiti da questo attacco. Mantenere le librerie e i sistemi aggiornati è fondamentale per garantire la sicureza delle reti e dei sistemi.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Sandro Sana

Membro del gruppo di Red Hot Cyber Dark Lab e direttore del Red Hot Cyber PodCast. Si occupa d'Information Technology dal 1990 e di Cybersecurity dal 2014 (CEH - CIH - CISSP - CSIRT Manager - CTI Expert), relatore a SMAU 2017 e SMAU 2018, docente SMAU Academy & ITS, membro ISACA. Fa parte del Comitato Scientifico del Competence Center nazionale Cyber 4.0, dove contribuisce all’indirizzo strategico delle attività di ricerca, formazione e innovazione nella cybersecurity.

Aree di competenza: Cyber Threat Intelligence, NIS2, Governance & Compliance della Sicurezza, CSIRT & Crisis Management, Ricerca, Divulgazione e Cultura Cyber

Visita il sito web dell'autore