聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
Aiohttp 是构建于 Python I/O 框架 Asyncio 之上的开源库,用于处理无需基于传统线程网络的大量并发HTTP请求。技术企业、web开发人员、后台工程师和数据科学家通过使用它来构建高性能的从多款外部API聚合数据的 web 应用和服务。
2024年1月28日,aiohttp 3.9.2版本发布,修复了高危路径遍历漏洞CVE-2024-23334。该漏洞影响 aiohttp 3.9.1及更老版本,可导致未认证远程攻击者访问易受攻击服务器上的文件。该漏洞产生的原因在于当 “follow_symlinks” 的静态路由设置为 “True” 时候验证不当,可导致对服务器静态root目录外部的文件进行越权访问。
2024年2月27日,研究员发布该漏洞的 PoC 利用。Cyble 公司的威胁分析人员报道称,他们的扫描器已经发现有人从2月29日开始展开利用尝试且这一趋势有所增加,一直持续到3月份。扫描尝试源自五个IP地址,其中一个是由 Group-IB 在2023年9月份发出的报告中标记,后者将其归咎于 ShadowSyndicate 勒索团伙。
ShadowSyndicate 是投机性质的、受经济利益驱动的威胁行动者,活跃于2022年7月,与多家勒索团伙有关,如 Quantum、Nokoyawa、BlackCat、ALPHV、Clop、Royal、Cactus 和 Play。
Group-IB 公司认为ShadowSyndicate与多起勒索活动有关。虽然 Cyble 公司的研究结果并不肯定,但说明该勒索团伙正在使用易受攻击的 aiohttp 库尝试扫描服务器。这些扫描活动是否已转化为攻陷活动尚不清楚。
鉴于该攻击面,Cyble 公司的互联网扫描器ODIN表明全球共有约44170个被暴露在互联网上的 aiohttp 实例,多数位于美国 (15.8%),其次是德国 (8%)、西班牙 (5.7%)、英国、意大利、法国、俄罗斯。这些实例所运行的版本无法识别,因此很难判断易受攻击 aiohttp 服务器的数量。
遗憾的是,由于多种实践问题加剧了定位和打补丁的复杂性,开源库通常用于过时版本中。这就使得开源库更加易受攻击,即使在安全更新已推出数年时间的情况下,仍然被用于攻击活动中。
题图:Pexels License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~