aiohttp เป็น open-source ไลบรารีที่สร้างขึ้นบน asynchronous I/O framework ของ Python อย่าง asyncio เพื่อจัดการคำขอ HTTP พร้อมกันจำนวนมากโดยไม่ต้องใช้เครือข่ายเธรดแบบดั้งเดิม aiohttp ถูกใช้โดยบริษัทเทคโนโลยี นักพัฒนาเว็บ และนักวิทยาศาสตร์ข้อมูลที่ต้องการสร้างแอปพลิเคชันและบริการเว็บประสิทธิภาพสูงที่รวบรวมข้อมูลจาก external API

ในวันที่ 28 มกราคม 2024 aiohttp ได้ปล่อยเวอร์ชัน 3.9.2 โดยแก้ไขช่องโหว่ CVE-2024-23334 (CVSS 7.5) ซึ่งเป็นช่องโหว่ directory traversal ที่มีความรุนแรงสูงซึ่งส่งผลกระทบต่อ aiohttp ทุกเวอร์ชันตั้งแต่ 3.9.1 และเก่ากว่า ซึ่งอนุญาตให้ผู้โจมตีที่ไม่ได้รับการรับรองความถูกต้อง(unauthenticated) เข้าถึงไฟล์บนเซิร์ฟเวอร์ได้ ข้อบกพร่องนี้เกิดจากการตรวจสอบที่ไม่เพียงพอ เมื่อตั้งค่า follow_symlinks เป็น True สำหรับเส้นทางแบบคงที่(static route) ทำให้สามารถเข้าถึงไฟล์นอกรูทไดเร็กทอรีแบบคงที่ของเซิร์ฟเวอร์โดยไม่ได้รับอนุญาต

จากนั้นวันที่ 27 กุมภาพันธ์ 2024 นักวิจัยได้ปล่อย proof of concept (PoC) สำหรับ CVE-2024-23334 บน GitHub และเมื่อต้นเดือนมีนาคมได้ปล่อยวิดีโอโดยละเอียดที่แสดงคำแนะนำแบบทีละขั้นตอนบน  YouTube

นักวิเคราะห์ภัยคุกคามของ Cyble ค้นพบว่าผู้คุกคามอาจทำการสแกนโดยกำหนดเป้าหมายเป็นเซิร์ฟเวอร์โดยใช้ไลบรารี aiohttp เวอร์ชันที่มีช่องโหว่ CVE-2024-23334 ตั้งแต่วันที่ 29 กุมภาพันธ์และยังคงเพิ่มขึ้นจนถึงเดือนมีนาคม มีการพยายามโจมตีจาก IP address 5 รายการ หนึ่งในนั้นถูกรายงานในเดือนกันยายน 2023 โดย Group-IB ซึ่งเชื่อมโยง IP address ดังกล่าวตรงกับกลุ่มแรนซัมแวร์ ShadowSyndicate

ShadowSyndicate เป็นผู้คุกคามที่มีแรงจูงใจทางการเงิน โดยเริ่มก่อตั้งตั้งแต่เดือนกรกฎาคม 2022 ซึ่งเชื่อมโยงกับกลุ่มแรนซัมแวร์ที่หลากหลายสายพันธุ์ เช่น Quantum, Nokoyawa, BlackCat/ALPHV, Clop, Royal, Cactus และ Play

ระบบที่ได้รับผลกระทบ

• aiohttp เวอร์ชันต่ำกว่า 3.9.2

แนวทางการลดผลกระทบ

• อัปเดต aiohttp ให้เป็นเวอร์ชัน 3.9.2 หรือใหม่กว่า หลังจากการทดสอบติดตั้งแพตช์อย่างละเอียดแล้ว
• ปิดการใช้งาน follow_symlinks=True หากไม่มีการจำกัดการเข้าถึง
• แนะนำให้ใช้เซิร์ฟเวอร์ reverse proxy (เช่น nginx) เพื่อจัดการทรัพยากรแบบคงที่ และไม่ใช้ทรัพยากรแบบคงที่เหล่านี้ใน aiohttp สำหรับสภาพแวดล้อมการใช้งานจริง

อ้างอิง

• CGSI Probes: ShadowSyndicate Group's Possible Exploitation Of Aiohttp Vulnerability (CVE-2024-23334)  - Cyble

• aiohttp.web.static(follow_symlinks=True) is vulnerable to directory traversal

‍

‍