ShadowSyndicate Bilgisayar Korsanları, Hassas Verileri Çalmak İçin Aiohttp Güvenlik Açıklarından Yararlanıyor


ShadowSyndicate Bilgisayar Korsanları, Hassas Verileri Çalmak İçin Aiohttp Güvenlik Açıklarından Yararlanıyor

3.9.2’den önceki aiohttp sürümlerinde bir dizin geçiş güvenlik açığı (CVE-2024-23334) tespit edildi.

Bu güvenlik açığı, ‘follow_symlinks’ etkinleştirildiğinde aiohttp’nin kök dizindeki dosya okumayı doğrulamaması nedeniyle uzaktaki saldırganların sunucudaki hassas dosyalara erişmesine olanak tanır.

Aiohttp, internete açık 43.000’den fazla örnekte kullanılan popüler bir eşzamansız HTTP çerçevesidir ve Aiohttp 3.9.2 veya daha yeni bir sürüme yama uygulanması bu güvenlik açığını azaltmak için çok önemli olduğundan, bunları saldırganlar için birincil hedef haline getirir.

AIOhttp örneklerinin kullanıma sunulması

Eşzamansız HTTP iletişimi için en yaygın kullanılan Python kitaplıklarından biri olan bu kitaplık, kimliği doğrulanmamış saldırganlar tarafından kullanılabilecek bir dizin geçiş güvenlik açığına (CVE-2024-23334) sahiptir.

Belge

Etkili Kötü Amaçlı Yazılım Analizi için ANY.RUN’u Şirketinize Entegre Edin

SOC, Tehdit Araştırması veya DFIR departmanlarından mısınız? Öyleyse, 400.000 bağımsız güvenlik araştırmacısından oluşan çevrimiçi topluluğa katılabilirsiniz:

  • Gerçek Zamanlı Tespit
  • İnteraktif Kötü Amaçlı Yazılım Analizi
  • Yeni Güvenlik Ekibi Üyelerinin Öğrenmesi Kolay
  • Maksimum veriyle ayrıntılı raporlar alın
  • Linux’ta ve tüm Windows İşletim Sistemi Sürümlerinde Sanal Makineyi Kurma
  • Kötü Amaçlı Yazılımlarla Güvenli Bir Şekilde Etkileşim Kurun

Tüm bu özellikleri şimdi sanal alana tamamen ücretsiz erişimle test etmek istiyorsanız:


AIOhttp Maruziyetlerinin Coğrafi Dağılımı.
AIOhttp Maruziyetlerinin Coğrafi Dağılımı.

Kritik kusur (CVSS: 7.5), “aiohttp.web.static(follow_symlinks=True)” seçeneğiyle sembolik bağlantılar takip edilirken yetersiz doğrulamadan kaynaklanmaktadır; burada bir saldırgan, amaçlanan dizin yapısı dışındaki yetkisiz dosyalara erişim için istekler oluşturabilir ve potansiyel olarak tehlikeye girebilir hassas sunucu verileri.

CVE-2024-23334 istismarına yönelik halka açık bir Kavram Kanıtı (PoC) ayrıntılı bir YouTube videosuyla birlikte 27 Şubat’ta yayınlandı ve bunu hızlı istismar girişimleri izledi.

CGSI tarafından yakalanan Aio HTTP sunucularında tarama girişimleri
CGSI tarafından yakalanan Aio HTTP sunucularında tarama girişimleri

Cyble Global Sensor Intelligence (CGSI), yalnızca bir gün sonra, 29 Şubat’ta, bu güvenlik açığını hedef alan tarama faaliyeti tespit etti ve faaliyet o tarihten bu yana devam ediyor; bu da tehdit aktörlerinin (TA’lar) savunmasız sistemlerden yararlanmak için kamuya açık bilgilerden hızla yararlandığını gösteriyor .

On-Demand Webinar to Secure the Top 3 SME Attack Vectors: Watch for Free.

Bir Python eşzamansız HTTP çerçevesi olan Aiohttp, bir kök dizinle statik dosya sunma yollarının tanımlanmasına olanak tanır.

‘follow_symlinks’ seçeneği, sembolik bağlantıların izlenmesini kontrol eder. Etkinleştirildiğinde, uygun doğrulamadan yoksundur ve saldırganların sembolik bağlantılar olmadan bile sunucudaki rastgele dosyalara erişmesine olanak tanır.

Dizin geçiş güvenlik açığı, yolların istenen yol ile kök dizin birleştirilerek oluşturulması ve saldırganların dikkatlice hazırlanmış istekleri kullanarak amaçlanan alanın dışına geçmesine olanak sağlaması nedeniyle ortaya çıkar.

IP 81.19.136.251’in LockBit fidye yazılımı etkinliği ve ShadowSyndicate grubuyla bağlantılı olduğu belirlendi.

Temmuz 2022’den bu yana aktif olan ShadowSyndicate, çeşitli fidye yazılımı türlerini kullanan bir RaaS üyesidir.

Group-IB araştırmacıları bunları Quantum (Eylül 2022), Nokoyawa (Ekim 2022, Kasım 2022, Mart 2023) ve ALPHV (Şubat 2023) fidye yazılımı içeren olaylarla ilişkilendirerek geniş kapsamlı ve sık yapılan fidye yazılımı saldırılarını ortaya koydu.

Aşağıdaki IP’ler (81.19.136.251, 157.230.143.100, 170.64.174.95, 103.151.172.28 ve 143.244.188.172), bir güvenlik açığından yararlanmaya çalışırken gözlemlenen güvenlik ihlali göstergeleri olarak tanımlandı; CVE-2024-23334, ilişkili sistemlerin Bu IP’lerle yapılan saldırılar kötü amaçlı olabilir ve daha fazla araştırılmalıdır.

Is Your Network Under Attack? - Read CISO’s Guide to Avoiding the Next Breach - Download Free Guide



Source link