O grupo de ransomware ‘ShadowSyndicate’ foi observado verificando servidores vulneráveis ao CVE-2024-23334, uma vulnerabilidade de travessia de diretório na biblioteca Python aiohttp. ShadowSyndicate Group explora falha na biblioteca Python aiohttp e coloca servidores de todo o mundo em ris.co
O ShadowSyndicate, um grupo conhecido por atividades de ransomware desde julho de 2022, foi associado a vários incidentes, incluindo ransomwares Quantum, Nokoyawa e ALPHV.
Popular entre empresas de tecnologia e desenvolvedores web, a biblioteca aiohttp facilita o manuseio de um grande número de solicitações HTTP simultâneas sem a necessidade de uma abordagem convencional baseada em thread.
Essa falha de segurança, classificada como altamente grave, permite que invasores remotos e não autenticados acessem informações confidenciais em servidores vulneráveis.
A vulnerabilidade, que afeta versões anteriores ao aiohttp 3.9.2, foi resolvida com uma atualização lançada no final de janeiro de 2024. No entanto, os cibercriminosos continuam a explorar essa fraqueza, como evidenciado pelas tentativas de varredura detectadas pelos analistas de ameaças da Cyble, e ainda não está claro quantos servidores foram comprometidos.
Desde o final de fevereiro de 2024, as tentativas de exploração aumentaram, com mais de 43.000 instâncias aiohttp expostas à internet em todo o mundo, de acordo com o scanner ODIN da Cyble. A maioria desses casos está localizada nos Estados Unidos, Alemanha, Espanha e outros países europeus.
ShadowSyndicate Group explora falha na biblioteca Python aiohttp e coloca servidores de todo o mundo em risco
A exploração desta vulnerabilidade depende da falta de validação adequada quando a opção ‘follow_symlinks’ é definida como ‘True’ para rotas estáticas, permitindo acesso não autorizado a arquivos fora do diretório raiz estático do servidor.
A exploração desta vulnerabilidade pode permitir que invasores acessem informações confidenciais nos servidores afetados. Os usuários do AIOHTTP são instados a atualizar seus sistemas para a versão mais recente para mitigar esse risco e se proteger contra ataques futuros.
