L’acteur du ransomware « ShadowSyndicate » a été observé en train de rechercher des serveurs vulnérables à CVE-2024-23334, une vulnérabilité de traversée de répertoire dans la bibliothèque Python aiohttp.
Aiohttp est une bibliothèque open source construite sur le framework d’E/S asynchrones de Python, Asyncio, pour gérer de grandes quantités de requêtes HTTP simultanées sans mise en réseau traditionnelle basée sur des threads.
Il est utilisé par les entreprises technologiques, les développeurs Web, les ingénieurs backend et les scientifiques des données qui cherchent à créer des applications et des services Web hautes performances qui agrègent les données de plusieurs API externes.
Le 28 janvier 2024, aiohttp a publié la version 3.9.2, traitant de CVE-2024-23334, une faille de traversée de chemin de gravité élevée affectant toutes les versions d’aiohttp à partir de 3.9.1 et plus anciennes qui permet aux attaquants distants non authentifiés d’accéder aux fichiers sur des serveurs vulnérables.
La faille est due à une validation inadéquate lorsque ‘follow_symlinks’ est défini sur ‘True’ pour les routes statiques, permettant un accès non autorisé aux fichiers en dehors du répertoire racine statique du serveur.
Le 27 février 2024, un chercheur a publié un exploit de preuve de concept (PoC) pour CVE-2024-23334 sur GitHub, tandis qu’une vidéo détaillée présentant des instructions d’exploitation étape par étape a été publiée sur YouTube début mars.
Les analystes des menaces de Cyble rapportent que leurs scanners ont détecté des tentatives d’exploitation ciblant CVE-2024-23334 à partir du 29 février et se poursuivant à un rythme accru jusqu’en mars.
Les tentatives d’analyse proviennent de cinq adresses IP, dont l’une a été étiquetée dans un rapport de septembre 2023 par Group-IB, qui l’a liée à l’acteur du ransomware ShadowSyndicate.
Shadow Syndicate est un acteur de menace opportuniste et motivé financièrement, actif depuis juillet 2022, qui était lié avec divers degrés de confiance à des souches de ransomwares telles que Quantum, Nokoyawa, BlackCat/ALPHV, Clop, Royal, Cactus et Play.
Group-IB pense que l’auteur de la menace est un affilié travaillant avec plusieurs opérations de ransomware.
La découverte de Cybele, bien que non définitive, indique que les acteurs de la menace pourraient effectuer des analyses ciblant des serveurs en utilisant une version vulnérable de la bibliothèque aiohttp. Que ces analyses se transforment ou non en violations reste inconnu pour le moment.
En ce qui concerne la surface d’attaque, le scanner Internet ODIN de Cybele montre qu’il existe environ 44 170 instances aiohttp exposées à Internet dans le monde entier. La plupart (15,8%) sont situés aux États-Unis, suivis de l’Allemagne (8%), de l’Espagne (5,7%), du Royaume-Uni, de l’Italie, de la France, de la Russie et de la Chine.
La version des instances exposées à Internet exécutées ne peut pas être discernée, ce qui rend difficile la détermination du nombre de serveurs aiohttp vulnérables.
Malheureusement, les bibliothèques open source sont souvent utilisées dans des versions obsolètes pendant de longues périodes en raison de divers problèmes pratiques qui compliquent leur localisation et leur correction.
Cela les rend plus précieux pour les acteurs de la menace, qui les exploitent dans des attaques même après que des années se sont écoulées depuis qu’une mise à jour de sécurité a été mise à disposition.