В сфере кибербезопасности зафиксирована новая угроза от хакерской группировки ShadowSyndicate. Их цель - серверы, подверженные уязвимости в библиотеке aiohttp, называемой CVE-2024-23334. Этот недостаток библиотеки позволяет злоумышленникам обойти защиту директорий, получив тем самым доступ к критическим файлам.
Библиотека aiohttp, написанная на языке Python, облегчает работу с асинхронными HTTP-запросами и широко используется в разработке веб-приложений благодаря своей высокой производительности.
Проблема затрагивает версии aiohttp до 3.9.1 включительно, но уже в версии 3.9.2, выпущенной 28 февраля, разработчики исправили уязвимость. Однако на практике многие серверы еще не обновились до последней версии, что делает их потенциальными целями для атак.
Уязвимость особенно опасна, когда в настройках сервера включена опция "follow_symlinks" для статичных маршрутов, что и стало причиной недоразумений. В сети уже появились демонстрационные эксплойты и детальные руководства по их использованию, увеличивая риски для необновленных систем.
Компания Cyble отметила активизацию атак на серверы с конца февраля, исходящих от определенных IP, связанных с ShadowSyndicate. С момента своего возникновения в июле 2022 года, этой группе удалось зарекомендовать себя, став причастной к распространению различных вирусных программ.
По последним данным, около 44 170 серверов все еще остаются уязвимыми для CVE-2024-23334, с наибольшим количеством в США, за которыми следуют серверы в Германии, Испании и других странах.