黑客利用 Aiohttp 漏洞寻找易受攻击的网络

勒索软件攻击者“ShadowSyndicate”正在扫描易受 CVE-2024-23334（aiohttp Python 库中的目录遍历漏洞）影响的服务器。

Aiohttp 是一个构建在 Python 异步 I/O 框架 Asyncio 之上的开源库，用于处理大量并发 HTTP 请求，而无需传统的基于线程的网络。

2024 年 1 月 28 日，aiohttp 发布了版本 3.9.2，解决了 CVE-2024-23334，这是一个高严重性路径遍历缺陷，影响 3.9.1 及更早版本的所有 aiohttp 版本，允许未经身份验证的远程攻击者访问易受攻击的服务器上的文件。

该缺陷是由于当静态路由的“follow_symlinks”设置为“True”时验证不充分，从而允许未经授权访问服务器静态根目录之外的文件。

2024 年 2 月 27 日，一名研究人员在 GitHub 上发布了 CVE-2024-23334 的概念验证 (PoC) 漏洞利用，并于 3 月初在 YouTube 上发布了展示分步利用说明的详细视频。

Cyble 的威胁分析师报告称，他们的扫描仪从 2 月 29 日开始捕获了针对 CVE-2024-23334 的利用尝试，并以更高的速度持续到 3 月。

关于攻击面，显示全球大约有 44,170 个暴露在互联网上的 aiohttp 实例。

无法识别运行在互联网上的实例的版本，因此很难确定易受攻击的 aiohttp 服务器的数量。

黑客利用 Bricks WordPress 网站构建器中的关键 RCE 缺陷。

转自安全客，原文链接：https://www.anquanke.com/post/id/294023