Resumen ejecutivo
En la última semana de enero de 2024, se lanzó un parche para abordar una vulnerabilidad encontrada en aiohttp. Este problema de seguridad afecta a las versiones de aiohttp anteriores a la 3.9.2. La falla de seguridad (CVE-2024-23334) es una vulnerabilidad de cruce de directorio en aiohttp que permite a atacantes remotos no autenticados acceder a información confidencial de archivos arbitrarios en el servidor si se explota.
Aiohttp es un marco de cliente/servidor HTTP asincrónico versátil diseñado para asyncio y Python. Su flexibilidad y amplias capacidades hacen de aiohttp una solución integral para una amplia gama de tareas asincrónicas. El escáner ODIN de Cyble, por ejemplo, ha identificado más de 43.000 instancias aiohttp expuestas a Internet en todo el mundo, como se muestra en la siguiente figura.
Cifra 1 – Exposición de instancias aiohttp
Estos casos son particularmente frecuentes en Estados Unidos, Alemania, España y otras regiones, como se muestra a continuación.
Cifra 2 – Distribución geográfica de las exposiciones aiohttp.
Dada la prevalencia de instancias expuestas, es probable que sean objetivos de los actores de amenazas (TA). Se recomienda encarecidamente aplicar parches inmediatamente a las últimas versiones.
Detalles de vulnerabilidad
Vulnerabilidad de cruce de directorio en aiohttp
CVE-2024-23334
CVSS:3.1:
7.5
Gravedad:
Alto
Versiones vulnerables:
Antes de la versión 3.9.2
Descripción:
Se ha identificado una vulnerabilidad de cruce de directorio en aiohttp, un marco cliente/servidor HTTP asíncrono para asyncio y Python. Si se explota con éxito, esta vulnerabilidad permite a atacantes remotos no autenticados acceder a información confidencial en el servidor.
Hallazgos de Cyble Global Sensor Intelligence (CGSI)
El 27 de febrero, estuvo disponible una prueba de concepto (PoC) para este exploit, acompañada de un vídeo completo de YouTube que ilustra su funcionalidad.
Al día siguiente, 29 de febrero de 2024, CGSI comenzó a detectar múltiples intentos de escaneo dirigidos a CVE-2024-23334, y dicha actividad continuó a partir de entonces. La siguiente imagen muestra el ataque observado en el sensor CGSI.
Cifra 3 – Intentos de escaneo en servidores aiohttp capturados por CGSI
Es evidente que las AT rápidamente intentaron explotar esta vulnerabilidad poco después de que las pruebas de concepto estuvieran disponibles públicamente.
Detalles técnicos
aiohttp como una biblioteca o marco de Python de código abierto que está diseñado específicamente para ofrecer capacidades de servidor y cliente HTTP asíncrono. Al configurar aiohttp como servidor web y definir rutas estáticas para servir archivos, es esencial especificar el directorio raíz donde se encuentran los archivos estáticos.
Además, la opción ‘follow_symlinks’ se puede utilizar para determinar si se deben seguir enlaces simbólicos fuera del directorio raíz estático. Cuando ‘follow_symlinks’ se establece en Verdadero, no hay validación para verificar si una ruta de archivo determinada está dentro del directorio raíz. Este problema puede provocar una vulnerabilidad de cruce de directorios, lo que resulta en acceso no autorizado a archivos arbitrarios en el servidor, incluso cuando no hay enlaces simbólicos presentes.
Atribución del actor de amenazas
Después de analizar los intentos de escaneo detectados por nuestro Cyble Global Sensor Intelligence (CGSI), observamos que una de las direcciones IP 81[.]19[.]136[.]251 ha sido etiquetado en varios casos de actividad de LockBit y también indica una asociación con el grupo ShadowSyndicate.
ShadowSyndicate, un grupo de amenazas cibernéticas activo desde julio de 2022, opera como afiliado de Ransomware-as-a-Service (RaaS), aprovechando varias cepas de ransomware para llevar a cabo sus ataques.
Los investigadores de seguridad de Group-IB han podido vincular este grupo con varios incidentes de ransomware en el pasado, que incluyen la actividad del ransomware Quantum en septiembre de 2022, las campañas de ransomware Nokoyawa ocurridas en octubre de 2022, noviembre de 2022 y marzo de 2023, así como el ransomware ALPHV. actividad en febrero de 2023”. Estos incidentes ilustran la prolífica participación de ShadowSyndicate en operaciones de ransomware durante un período relativamente corto.
Conclusión
La prevalencia de servidores que se ejecutan en versiones sin parches del marco aiohttp plantea un riesgo significativo en ciberseguridad. Si bien no se han observado ataques que utilicen esta vulnerabilidad específica en este momento, los intentos de escaneo del grupo Shadowsyndicate subrayan la amenaza inminente.
Dado su interés demostrado, es imperativo que las organizaciones actúen rápidamente actualizando a la versión recomendada 3.9.2 e implementando las mitigaciones necesarias. Si no se abordan estas vulnerabilidades con prontitud, los sistemas podrían quedar expuestos a explotación en el futuro.
Indicadores de compromiso
| Indicadores | Indicador Tipo | Descripción |
| 81[.]19[.]136[.]251 | IP | IP observada intentando explotar CVE-2024-23334 |
| 157[.]230[.]143[.]100 | IP | IP observada intentando explotar CVE-2024-23334 |
| 170[.]64[.]174[.]95 | IP | IP observada intentando explotar CVE-2024-23334 |
| 103[.]151[.]172[.]28 | IP | IP observada intentando explotar CVE-2024-23334 |
| 143[.]244[.]188[.]172 | IP | IP observada intentando explotar CVE-2024-23334 |
Referencias
https://www.group-ib.com/blog/shadowsyndicate-raas
https://github.com/aio-libs/aiohttp/security/advisories/GHSA-5h86-8mv2-jq9f
Relacionado
Fuente Original Cyble
