Die Ransomware-Gruppe ‚ShadowSyndicate‘ nutzt eine Schwachstelle in der aiohttp Python-Bibliothek, CVE-2024-23334, um nach angreifbaren Servern zu suchen. Diese hochgradige Path-Traversal-Schwachstelle betrifft alle Versionen von aiohttp bis einschließlich 3.9.1 und ermöglicht es nicht authentifizierten Angreifern aus der Ferne, auf Dateien auf verwundbaren Servern zuzugreifen.
Die Verwundbarkeit, behoben in Version 3.9.2, veröffentlicht am 28. Januar 2024, wird durch unzureichende Validierung bei statischen Routen mit aktivierten ‚follow_symlinks‘ verursacht. Das öffnet Türen für unautorisierten Zugriff auf Dateien außerhalb des statischen Wurzelverzeichnisses des Servers.
Nach der Veröffentlichung eines Proof of Concept (PoC) und eines detaillierten Exploit-Videos auf YouTube, haben die Bedrohungsanalysten von Cyble seit dem 29. Februar vermehrte Ausnutzungsversuche dieser Schwachstelle beobachtet. Insbesondere eine mit ShadowSyndicate in Verbindung gebrachte IP-Adresse wurde erkannt.
ShadowSyndicate, bekannt für seine opportunistische und finanziell motivierte Vorgehensweise, wurde bereits mit verschiedenen Ransomware-Varianten wie Quantum und BlackCat/ALPHV in Verbindung gebracht. Obwohl nicht abschließend geklärt ist, ob diese Scans zu tatsächlichen Sicherheitsverletzungen führen, unterstreicht dies die kontinuierliche Bedrohung durch Akteure, die sich auf solche Schwachstellen konzentrieren.
Mit schätzungsweise 44.170 im Internet sichtbaren aiohttp-Instanzen weltweit, darunter der größte Anteil in den USA, zeigt sich die Notwendigkeit für Unternehmen, ihre Nutzung von Open-Source-Bibliotheken zu überwachen und Sicherheitsaktualisierungen zeitnah anzuwenden. Die Schwierigkeit, die genaue Version der exponierten Instanzen zu bestimmen, verdeutlicht zudem die Herausforderung, die Anzahl der verwundbaren Server genau zu erfassen.
Die Entdeckung betont die Bedeutung von Wachsamkeit und proaktiven Sicherheitsmaßnahmen, um gegen die ausgeklügelten Methoden von Cyberkriminellen gewappnet zu sein.