Nhóm tin tặc ransomware 'ShadowSyndicate' đã được quan sát thấy đang quét các máy chủ có lỗ hổng CVE-2024-23334, một lỗ hổng truyền tải thư mục trong thư viện aiohttp Python.
Aiohttp là một thư viện mã nguồn mở được xây dựng dựa trên khung I/O không đồng bộ của Python, Asyncio, để xử lý số lượng lớn yêu cầu HTTP đồng thời mà không cần kết nối mạng dựa trên luồng truyền thống.
Nó được sử dụng bởi các công ty công nghệ, nhà phát triển web, kỹ sư phụ trợ và nhà khoa học dữ liệu đang tìm cách xây dựng các ứng dụng và dịch vụ web hiệu suất cao tổng hợp dữ liệu từ nhiều API bên ngoài.
Vào ngày 28 tháng 1 năm 2024, aiohttp đã phát hành phiên bản 3.9.2, giải quyết CVE-2024-23334, một lỗ hổng truyền tải đường dẫn có mức độ nghiêm trọng cao ảnh hưởng đến tất cả các phiên bản aiohttp từ 3.9.1 trở xuống, cho phép kẻ tấn công từ xa không được xác thực truy cập vào các tệp trên máy chủ dễ bị tấn công.
Lỗ hổng là do xác thực không đầy đủ khi 'follow_symlinks' được đặt thành 'True' cho các tuyến tĩnh, cho phép truy cập trái phép vào các tệp bên ngoài thư mục gốc tĩnh của máy chủ.
Vào ngày 27 tháng 2 năm 2024, một nhà nghiên cứu đã công bố khai thác bằng chứng khái niệm (PoC) cho CVE-2024-23334 trên GitHub, trong khi một video chi tiết hướng dẫn khai thác từng bước đã được xuất bản trên YouTube vào đầu tháng 3.
Các nhà phân tích mối đe dọa của Cyble báo cáo rằng máy quét của họ đã phát hiện được các nỗ lực khai thác nhắm mục tiêu CVE-2024-23334 bắt đầu từ ngày 29 tháng 2 và tiếp tục với tốc độ gia tăng cho đến tháng 3.
Các nỗ lực quét bắt nguồn từ năm địa chỉ IP, một trong số đó đã được gắn thẻ trong báo cáo tháng 9 năm 2023 của Group-IB. Nhóm này đã liên kết nó với tác nhân ransomware ShadowSyndicate.
ShadowSyndicate là một kẻ đe dọa cơ hội, có động cơ tài chính , hoạt động từ tháng 7 năm 2022, có mối liên hệ với nhiều mức độ tin cậy khác nhau đối với các chủng ransomware như Quantum, Nokoyawa, BlackCat/ALPHV, Clop, Royal, Cactus và Play.
Phát hiện của Cyble, mặc dù không dứt khoát, chỉ ra rằng các tác nhân đe dọa có thể đang tiến hành quét nhắm mục tiêu vào các máy chủ bằng cách sử dụng phiên bản dễ bị tấn công của thư viện aiohttp. Hiện tại, việc quét này có biến thành vi phạm hay không vẫn chưa được biết.
Không thể phân biệt được phiên bản của các phiên bản chạy trên Internet, khiến việc xác định số lượng máy chủ aiohttp dễ bị tấn công trở nên khó khăn.
Thật không may, các thư viện nguồn mở thường được sử dụng trong các phiên bản lỗi thời trong thời gian dài do nhiều vấn đề thực tế khác nhau khiến việc định vị và vá chúng trở nên phức tạp.