El grupo de ransomware ‘ShadowSyndicate’ fue observado escaneando servidores vulnerables a CVE-2024-23334, una vulnerabilidad de transversal de directorios en la biblioteca de Python aiohttp.

ShadowSyndicate, grupo conocido por actividades de ransomware desde julio de 2022, ha sido vinculado a varios incidentes, incluidos Quantum, Nokoyawa y ALPHV ransomwares.

La biblioteca aiohttp, popular entre empresas tecnológicas y desarrolladores web, facilita el manejo de grandes cantidades de solicitudes HTTP concurrentes sin necesidad de un enfoque basado en hilos convencional.

Este fallo de seguridad, catalogado como de alta severidad, permite a los atacantes remotos, no autenticados, acceder a información sensible en servidores vulnerables.

La vulnerabilidad, que afecta a versiones anteriores a la 3.9.2 de aiohttp, fue abordada con una actualización lanzada a finales de enero de 2024. Sin embargo, los ciberdelincuentes continúan explotando esta debilidad, tal y como lo demuestran los intentos de escaneo detectados por los analistas de amenazas de Cyble, y todavía no está claro cuántos servidores han sido comprometidos.

Desde finales de febrero de 2024, los intentos de explotación han aumentado, con más de 43.000 instancias de aiohttp expuestas en internet en todo el mundo, según el escáner ODIN de Cyble. La mayoría de estas instancias se encuentran en Estados Unidos, Alemania, España y otros países europeos.

El exploit de esta vulnerabilidad se basa en la falta de validación adecuada cuando se establece la opción ‘follow_symlinks’ en ‘True’ para rutas estáticas, lo que permite el acceso no autorizado a archivos fuera del directorio raíz estático del servidor.

La explotación de esta vulnerabilidad podría permitir a los atacantes acceder a información sensible en los servidores afectados. Se insta a los usuarios de aiohttp a actualizar sus sistemas a la última versión para mitigar este riesgo y protegerse contra futuros ataques.

Más información:

• https://getodin.com/search/hosts?query=services.modules.http.headers.server%3A%22aiohttp%22
• https://twitter.com/W01fh4cker/status/1762491210953060827
• https://github.com/aio-libs/aiohttp/releases
• https://github.com/aio-libs/aiohttp/security/advisories/GHSA-5h86-8mv2-jq9f
• https://nvd.nist.gov/vuln/detail/CVE-2024-23334
• https://www.youtube.com/watch?v=DhRQVjspH6I
• https://www.bleepingcomputer.com/news/security/hackers-exploit-aiohttp-bug-to-find-vulnerable-networks/