Ocak 2024'ün son haftasında CGSI (Cyble Global Sensor Intelligence), kötü şöhretli ShadowSyndicate grubu (eski adıyla Infra Storm) tarafından bir Aiohttp güvenlik açığının potansiyel olarak istismar edildiğini ortaya çıkardı. CVE-2024-23334 olarak tanımlanan bu güvenlik açığı, kritik yapısı nedeniyle siber güvenlik çevrelerinde acil ilgi uyandırdı.
Aiohttp'nin 3.9.2'den önceki sürümlerini etkileyen Aiohttp güvenlik açığı, kimliği doğrulanmamış uzak saldırganların sunucuları ihlal etmesine ve dizin geçişi yoluyla hassas bilgilere erişmesine olanak tanıdığından endişelere yol açtı.
Python içindeki eşzamansız görevlerdeki çok yönlülüğüyle tanınan Aiohttp, dünya çapında tespit edilen 43.000'den fazla örnekle yaygın kullanımı nedeniyle tehdit aktörlerinin istismarının hedefi haline geldi.
ShadowSyndicate Grubu Aiohttp Güvenlik Açıklarından Yararlanıyor
Aiohttp örnekleri özellikle Amerika Birleşik Devletleri, Almanya ve İspanya gibi ülkelerde yaygındı ve bu da onları ShadowSyndicate grubu gibi kötü niyetli aktörlerin birincil hedefi haline getiriyordu. Bu güvenlik açığının oluşturduğu riski azaltmak için en son sürüme yama uygulamak gibi acil eyleme geçilmesi şiddetle tavsiye edildi.
Cyble Research and Intelligence Labs'a (CRIL) göre, CVE-2024-23334'ün ciddiyeti, kötüye kullanılması halinde hasar potansiyeline işaret eden 7,5'lik yüksek CVSS puanıyla vurgulanmıştır.
CGSI'nin bulguları, çevrimiçi olarak dolaşan istismara yönelik bir Kavram Kanıtı'nı (PoC) ve bunun işlevselliğini gösteren eğitici videoları ortaya çıkardı. Genel kullanıma sunulduktan kısa bir süre sonra CGSI, güvenlik açığından yararlanmayı amaçlayan çok sayıda tarama girişimi tespit etti.
Aiohttp Güvenlik Açığı Teknik Analizi
Teknik analiz, güvenlik açığının aiohttp'nin özellikle sembolik bağlantılar söz konusu olduğunda dosya yollarını doğru şekilde doğrulamadaki başarısızlığından kaynaklandığını ortaya çıkardı. Bu gözetim, sembolik bağlantıların yokluğunda bile hassas dosyalara yetkisiz erişimin kapısını açtı.
Tarama girişimlerine ilişkin daha fazla araştırma, bir IP adresinin atfedilmesine yol açtı: 81[.]19[.]136[.]251, ShadowSyndicate grubuna. Fidye yazılımı operasyonlarına karışmasıyla bilinen bu grup, dünya çapındaki kuruluşlar için önemli bir tehdit oluşturuyordu. 2022'ye kadar uzanan fidye yazılımı olaylarının geçmişi, finansal kazanç için siber saldırı gerçekleştirme konusundaki yeterliliklerini ortaya koydu.
Quantum fidye yazılımından Nokoyawa ve ALPHV fidye yazılımı kampanyalarına kadar ShadowSyndicate'in dahil olduğu olaylar, bunların siber suç alanındaki uyarlanabilirliğini ve kalıcılığını ortaya koydu. O sırada Aiohttp güvenlik açığını kullanan herhangi bir saldırı gözlenmemesine rağmen ShadowSyndicate'in tarama girişimleri yama yapılmamış sistemlerin oluşturduğu potansiyel tehdidi vurguladı.
Medya Yasal Uyarısı: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve bu bilgilere güvenme konusunda tüm sorumluluk kullanıcılara aittir. Cyber Express bu bilgilerin kullanılmasının doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.