Yönetişim ve Risk Yönetimi, Yama Yönetimi
Python Kütüphanesi Kusuru Dizin Geçişi Saldırılarına İzin Veriyor
Sayın Mihir (MihirBagwe) •
18 Mart 2024
Muhtemelen çok sayıda hizmet olarak fidye yazılımı operasyonuyla bağlantılı bir suç grubunun üyesi olan bilgisayar korsanları, Python kitaplığında, kimliği doğrulanmamış uzak saldırganların sunucu dosyalarındaki hassas bilgilere erişmesine olanak tanıyan bir dizin geçiş güvenlik açığından yararlanıyor.
Siber güvenlik firması Cyble'dan araştırmacılar 27 Şubat'ta birisinin saldırıdan birkaç gün sonra güvenlik açığından yararlanan faaliyetleri tespit etmeye başladıklarını söyledi. gönderildi bir kavram kanıtı ve nasıl kullanılacağını gösteren bir YouTube videosu.
Ayrıca bakınız: Proaktif Maruz Kalma Yönetimiyle Siber Güvenliği Dönüştürün
Güvenlik açığı, eşzamansız HTTP istemcileri ve sunucuları için asyncio kitaplığı üzerine kurulu bir Python kitaplığı olan aiohttp'de yatıyor. HTTP protokolünü ve WebSocket'leri destekler ve web sunucuları için ara katman yazılımları, sinyaller ve takılabilir yönlendirme özelliklerine sahiptir.
CVE-2024-23334 olarak takip edilen dizin geçiş güvenlik açığı CVSS ölçeğinde 7,5 puan alıyor. Dosyaların sunulması için statik yollar tanımlanırken uygun doğrulamanın yapılmaması nedeniyle aiohttp kitaplığını etkiler.
Sorun özellikle şu durumlarda ortaya çıkar: follow_symlinks seçenek şu şekilde ayarlandı: truebelirtilen kök dizinin dışındaki dosyalara yetkisiz erişimin sağlanması. Bu gözetim, tehdit aktörlerine çerçeveden yararlanma yeteneği vererek sunucu verilerinin bütünlüğünü ve gizliliğini tehlikeye atma potansiyeli sağlar.
Cyble, dünya çapında 43.000'den fazla internete açık aiohttp örneği tespit etti ve sunucuların çoğu ağırlıklı olarak Amerika Birleşik Devletleri, Almanya, İspanya ve Rusya ve Çin dahil diğer Asya bölgelerinde bulunuyordu.
Aiohttp, hatayı gidermek için 28 Ocak'ta 3.9.2 sürümünü yayınladı.
Cyble, araştırmacıların daha önce bilgisayar korsanlarının savunmasız sunucuları taramak için kullandıkları IP adreslerinden birini, fidye yazılımı operasyonlarına katılımıyla bilinen, yakın zamanda kurulan ShadowSyndicate grubuyla ilişkilendirdiğini söyledi (bkz: ShadowSyndicate: RaaS Ortamında Yeni Bir Oyuncu).
Siber güvenlik firması Group-IB, Eylül ayında ShadowSyndicate altyapısını Quantum fidye yazılımı, Nokoyawa ve Alphv fidye yazılımı korsanlarından gelen saldırılarla ilişkilendirdi. Group-IB ayrıca, ShadowSyndicate'i TrickBot, Ryuk, FIN7 ve TrueBot kötü amaçlı yazılım operasyonlarına bağlayan altyapı çakışmalarını düşük bir güven derecesi ile tespit etti.