Агент вымогательского ПО "ShadowSyndicate" был замечен за сканированием серверов, уязвимых к CVE-2024-23334, уязвимости обхода каталога в Python-библиотеке aiohttp.
Aiohttp - это библиотека с открытым исходным кодом, построенная на основе фреймворка асинхронного ввода-вывода Python, Asyncio, для обработки большого количества одновременных HTTP-запросов без традиционной работы с потоками.
Она используется технологическими компаниями, веб-разработчиками, бэкенд-инженерами и специалистами по исследованию данных, которые стремятся создавать высокопроизводительные веб-приложения и сервисы, объединяющие данные из множества внешних API.
28 января 2024 года aiohttp выпустил версию 3.9.2, в которой устранен CVE-2024-23334, серьезный дефект обхода пути, затрагивающий все версии aiohttp, начиная с 3.9.1 и старше, который позволяет удаленным злоумышленникам без авторизации получить доступ к файлам на уязвимых серверах.
Дефект связан с неадекватной проверкой при установке 'follow_symlinks' в 'True' для статических маршрутов, что позволяет получить несанкционированный доступ к файлам за пределами статического корневого каталога сервера.
27 февраля 2024 года исследователь опубликовал на GitHub концептуальный эксплойт для CVE-2024-23334, а в начале марта на YouTube было опубликовано подробное видео с пошаговыми инструкциями по эксплуатации.
Аналитики Cyble сообщают, что их сканеры засекли попытки эксплуатации CVE-2024-23334, начиная с 29 февраля и продолжая с нарастающей скоростью в марте.
Попытки сканирования исходят с пяти IP-адресов, один из которых был отмечен в отчете Group-IB за сентябрь 2023 года и связан с агентом ShadowSyndicate ransomware.
ShadowSyndicate - это оппортунистический, финансово мотивированный угрожающий агент, активный с июля 2022 года, который с разной степенью достоверности был связан с такими штаммами вымогательского ПО, как Quantum, Nokoyawa, BlackCat/ALPHV, Clop, Royal, Cactus и Play.
Group-IB полагает, что этот угрожающий актор является филиалом, работающим с несколькими операциями с выкупными программами.
Находка Cyble, хотя и не окончательная, указывает на то, что угрожающие субъекты, возможно, проводят сканирование серверов, использующих уязвимую версию библиотеки aiohttp. Приведут ли эти сканирования к взлому, на данный момент неизвестно.
Что касается поверхности атаки, то интернет-сканер ODIN компании Cyble показывает, что в мире насчитывается около 44 170 экземпляров aiohttp, подверженных атакам через Интернет. Большинство из них (15,8%) находятся в США, за ними следуют Германия (8%), Испания (5,7%), Великобритания, Италия, Франция, Россия и Китай.
Версию запущенных в интернете уязвимых экземпляров определить невозможно, что затрудняет определение количества уязвимых aiohttp-серверов.
К сожалению, библиотеки с открытым исходным кодом часто используются в устаревших версиях в течение длительного времени из-за различных практических проблем, затрудняющих их поиск и исправление.
Это делает их более ценными для угроз, которые используют их в атаках даже по прошествии многих лет после выпуска обновлений безопасности.
70Стэнфордский университет сообщил, что личные данные 27 000 человек были похищены в результате атаки вымогательского ПО, поразившего сеть Департамента общественной безопасности (SUDPS).
67Компания Acer Philippines подтвердила, что данные сотрудников были похищены в результате атаки на стороннего поставщика, управляющего данными о посещаемости сотрудников компании, после того как один из угрожающих лиц слил эти данные на хакерский форум.
36Северокорейские хакеры проникли на южнокорейские предприятия по производству чипов, сообщает шпионское агентство Южной Кореи.
36Продолжаем добавлять языки программирования для Вас.
Впереди много интересного!
Только свежие новости программирования и технологий каждый день.
Комментарии