aiohttp เป็น open-source ไลบรารีที่สร้างขึ้นบน asynchronous I/O framework ของ Python อย่าง asyncio เพื่อจัดการคำขอ HTTP พร้อมกันจำนวนมากโดยไม่ต้องใช้เครือข่ายเธรดแบบดั้งเดิม aiohttp ถูกใช้โดยบริษัทเทคโนโลยี นักพัฒนาเว็บ และนักวิทยาศาสตร์ข้อมูลที่ต้องการสร้างแอปพลิเคชันและบริการเว็บประสิทธิภาพสูงที่รวบรวมข้อมูลจาก external API
ในวันที่ 28 มกราคม 2024 aiohttp ได้ปล่อยเวอร์ชัน 3.9.2 โดยแก้ไขช่องโหว่ CVE-2024-23334 (CVSS 7.5) ซึ่งเป็นช่องโหว่ directory traversal ที่มีความรุนแรงสูงซึ่งส่งผลกระทบต่อ aiohttp ทุกเวอร์ชันตั้งแต่ 3.9.1 และเก่ากว่า ซึ่งอนุญาตให้ผู้โจมตีที่ไม่ได้รับการรับรองความถูกต้อง(unauthenticated) เข้าถึงไฟล์บนเซิร์ฟเวอร์ได้ ข้อบกพร่องนี้เกิดจากการตรวจสอบที่ไม่เพียงพอ เมื่อตั้งค่า follow_symlinks เป็น True สำหรับเส้นทางแบบคงที่(static route) ทำให้สามารถเข้าถึงไฟล์นอกรูทไดเร็กทอรีแบบคงที่ของเซิร์ฟเวอร์โดยไม่ได้รับอนุญาต
จากนั้นวันที่ 27 กุมภาพันธ์ 2024 นักวิจัยได้ปล่อย proof of concept (PoC) สำหรับ CVE-2024-23334 บน GitHub และเมื่อต้นเดือนมีนาคมได้ปล่อยวิดีโอโดยละเอียดที่แสดงคำแนะนำแบบทีละขั้นตอนบน YouTube
นักวิเคราะห์ภัยคุกคามของ Cyble ค้นพบว่าผู้คุกคามอาจทำการสแกนโดยกำหนดเป้าหมายเป็นเซิร์ฟเวอร์โดยใช้ไลบรารี aiohttp เวอร์ชันที่มีช่องโหว่ CVE-2024-23334 ตั้งแต่วันที่ 29 กุมภาพันธ์และยังคงเพิ่มขึ้นจนถึงเดือนมีนาคม มีการพยายามโจมตีจาก IP address 5 รายการ หนึ่งในนั้นถูกรายงานในเดือนกันยายน 2023 โดย Group-IB ซึ่งเชื่อมโยง IP address ดังกล่าวตรงกับกลุ่มแรนซัมแวร์ ShadowSyndicate
ShadowSyndicate เป็นผู้คุกคามที่มีแรงจูงใจทางการเงิน โดยเริ่มก่อตั้งตั้งแต่เดือนกรกฎาคม 2022 ซึ่งเชื่อมโยงกับกลุ่มแรนซัมแวร์ที่หลากหลายสายพันธุ์ เช่น Quantum, Nokoyawa, BlackCat/ALPHV, Clop, Royal, Cactus และ Play
ระบบที่ได้รับผลกระทบ
แนวทางการลดผลกระทบ
อ้างอิง
แฮกเกอร์ใช้ประโยชน์จากช่องโหว่ในโมดูล Facebook ระดับพรีเมียมสำหรับ PrestaShop ที่ชื่อว่า pkfacebook เพื่อปล่อย Card skimmer บนไซต์ E-commerce ที่มีช่องโหว่ และขโมยข้อมูลบัตรเครดิตการชำระเงิน
นักวิจัยจาก Sonatype นามว่า Ax Sharma พบแพ็กเกจอันตรายของ PyPi ที่เป็นส่วนหนึ่งของแคมเปญที่ผ่านมาชื่อว่า 'Cool package' ตั้งชื่อตามสตริงในข้อมูล Metadata ของแพ็กเกจที่กำหนดเป้าหมายผู้ใช้ Windows เมื่อปีที่แล้ว
Google ปล่อยแพตช์แก้ไขช่องโหว่ด้านความปลอดภัยทั้งหมด 9 ช่องโหว่บนเบราว์เซอร์ Chrome รวมถึงช่องโหว่ Zero-Day ที่มีรายงานว่าถูกใช้ในการโจมตีจริงแล้ว