Tehdit aktörü ShadowSyndicate'in istismar ettiği yeni bir Aiohttp güvenlik açığı keşfedildi.
Aiohttp, aiohttp'nin çeşitli eşzamansız görevleri gerçekleştirmesini sağlayacak kapsamlı yeteneklere ve esnekliğe sahip, eşzamansız bir HTTP istemci/sunucu çerçevesidir.
ShadowSyndicate tehdit aktörü, Hizmet Olarak Fidye Yazılımı üyesi olarak faaliyet gösteriyor ve Temmuz 2022'den beri faaliyet gösteriyor.
Tehdit aktörü; Quantum, Nokoyawa ve ALPHV fidye yazılımı faaliyetleri de dahil olmak üzere çeşitli fidye yazılımı faaliyetlerinden sorumluydu.
Ancak bu güvenlik açığına CVE-2024-23334 atanmış ve ciddiyeti 7,5 (Yüksek) olarak verilmiştir.
Aiohttp çerçevesi kullanılarak dünya çapında 43.000'den fazla internete açık örnek tespit edilmiştir.
Ayrıca aiohttp bakımcıları bu güvenlik açığını gidermek için bir yama sağladı.
Teknik Analiz – CVE-2024-23334
Aiohttp çerçevesi, statik dosyaları içeren kök dizini belirlemek amacıyla başlangıçta dosyaların sunulması için statik yolların ayarlanmasını gerektiren eşzamansız HTTP istemci ve sunucu yetenekleri sunmak üzere özel olarak tasarlanmıştır.
Ayrıca çerçevenin, sunucunun statik kök dizin dışındaki sembolik bağlantıları izlemesini sağlamak için kullanılabilen follow_symlinks'e izin verme seçeneği vardır.
Güvenlik Açığı ve 0 Günlük Tehditlerin Azaltılması
Güvenlik ekiplerinin 100'lerce güvenlik açığını önceliklendirmesi gerekmediğinden, hiç kimseye yardımcı olmayan Yorgunluk Uyarısı.:
- Günümüzün kırılganlık yorgunluğu sorunu
- CVSS'ye özgü güvenlik açığı ile risk tabanlı güvenlik açığı arasındaki fark
- Güvenlik açıklarının iş etkisine/riskine göre değerlendirilmesi
- Uyarı yorgunluğunu azaltmak ve güvenlik duruşunu önemli ölçüde geliştirmek için otomasyon
Riski doğru bir şekilde ölçmenize yardımcı olan AcuRisQ:
Yerinizi ayırtın
Dizin geçişi güvenlik açığının bulunduğu yer burasıdır.
Follow_symlinks True olarak ayarlanırsa izlenecek yol doğrulanmaz, bu da yetkisiz rastgele dosya okuma güvenlik açığına yol açar.
Cyber Security News ile paylaşılan raporlara göre, bu CVE-2024-23334, kimliği doğrulanmamış bir uzak tehdit aktörünün, savunmasız sunucudaki rastgele dosyalardaki hassas bilgilere erişmesine izin verebilecek dizin geçişiyle ilişkilidir.
Bu, etkin follow_symlink seçeneğiyle /static dizini üzerinden geçilerek yapılır.
Dahası, açığa çıkan örnekler Amerika Birleşik Devletleri (6,93 bin), Almanya (3,48 bin), İspanya (2,48 bin), Birleşik Krallık (1,82 bin), İtalya (1,81 bin), Fransa (1,26 bin), Fransa (1,26 bin), Rusya (1,25 bin) ve Çin (1,16 bin).
.webp)
Buna ek olarak, bu güvenlik açığına ilişkin bir kavram kanıtı da, istismar tekniğini gösteren kapsamlı bir YouTube videosuyla birlikte yayınlandı.
Exploit koduna göre araştırmacı 'follow_symlink' seçeneğinin etkin olduğu bir sunucu kurmuştur.
Bu, araştırmacının bir dizin geçişi yapmasına ve D:\ birimindeki rastgele bir dosyayı okumasına olanak tanır. sunucu.
Bu güvenlik açığının tehdit aktörleri tarafından istismar edilmesini önlemek için bu aiohttp çerçevesi kullanıcılarının en son sürüme yükseltmeleri önerilir.
Uzlaşma Göstergeleri
| Göstergeler | Gösterge Türü | Tanım |
| 81[.]19[.]136[.]251 | IP | IP'nin CVE-2024-23334'ten yararlanmaya çalıştığı gözlemlendi |
| 157[.]230[.]143[.]100 | IP | IP'nin CVE-2024-23334'ten yararlanmaya çalıştığı gözlemlendi |
| 170[.]64[.]174[.]95 | IP | IP'nin CVE-2024-23334'ten yararlanmaya çalıştığı gözlemlendi |
| 103[.]151[.]172[.]28 | IP | IP'nin CVE-2024-23334'ten yararlanmaya çalıştığı gözlemlendi |
| 143[.]244[.]188[.]172 | IP | IP'nin CVE-2024-23334'ten yararlanmaya çalıştığı gözlemlendi |
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn'de takip edin & heyecan.