O agente de ransomware 'ShadowSyndicate' foi observado procurando por servidores vulneráveis ao
CVE-2024-23334
, uma vulnerabilidade de trajeto de diretório na biblioteca Python aiohttp.
Aiohttp é uma biblioteca de código aberto construída com base no framework de I/O assíncrono do Python, Asyncio, para lidar com grandes quantidades de solicitações HTTP simultâneas sem a tradicional rede baseada em threads.
Ela é usada por empresas de tecnologia, desenvolvedores web, engenheiros de backend e cientistas de dados que buscam construir aplicações e serviços web de alto desempenho que agregam dados de várias APIs externas.
Em 28 de janeiro de 2024, aiohttp lançou a versão 3.9.2, abordando o
CVE-2024-23334
, uma falha de percurso de alta gravidade que impacta todas as versões do aiohttp a partir de 3.9.1 e anteriores que permitem a invasores remotos não autenticados acessar arquivos em servidores vulneráveis.
A falha é devido a uma validação inadequada quando 'follow_symlinks' é definido como 'True' para rotas estáticas, permitindo o acesso não autorizado a arquivos fora do diretório raiz estático do servidor.
Em 27 de fevereiro de 2024, um pesquisador divulgou um exploit de prova de conceito (PoC) para o
CVE-2024-23334
no GitHub, enquanto um vídeo detalhado mostrando instruções de exploração passo a passo foi publicado no YouTube no início de março.
Os analistas de ameaças do Cyble relatam que seus scanners interceptaram tentativas de exploração direcionadas ao
CVE-2024-23334
a partir de 29 de fevereiro e continuando em uma taxa aumentada em março.
As tentativas de varredura se originam de cinco endereços IP, um dos quais foi marcado em um relatório de setembro de 2023 do Group-IB, que o vinculou ao agente de ransomware ShadowSyndicate.
ShadowSyndicate é um agente de ameaça oportunista e motivado financeiramente, ativo desde julho de 2022, que foi ligado com vários graus de confiança a variantes de ransomware como Quantum, Nokoyawa, BlackCat/ALPHV, Clop, Royal, Cactus e Play.
O Group-IB acredita que o agente de ameaças seja um afiliado trabalhando com várias operações de ransomware.
A descoberta do Cyble, embora não definitiva, indica que os agentes de ameaças podem estar realizando varreduras em servidores que usam uma versão vulnerável da biblioteca aiohttp.
Ainda é desconhecido se essas varreduras resultarão em violações.
No que diz respeito à superfície de ataque, o scanner de internet ODIN do Cyble mostra que existem cerca de 44.170 instâncias de aiohttp expostas à internet em todo o mundo.
A maioria (15,8%) está localizada nos Estados Unidos, seguido pela Alemanha (8%), Espanha (5,7%), Reino Unido, Itália, França, Rússia e China.
A versão das instâncias expostas à internet executadas não pode ser discernida, tornando difícil determinar o número de servidores aiohttp vulneráveis.
Infelizmente, as bibliotecas de código aberto costumam ser usadas em versões desatualizadas por longos períodos por causa de várias questões práticas que complicam a localização e correção delas.
Isso faz com que sejam mais valiosas para os agentes de ameaças, que aproveitam para atacá-las, mesmo depois de anos desde que uma atualização de segurança foi disponibilizada.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...