Déplier le sommaire Replier le sommaire
Au cours de la dernière semaine de janvier 2024, CGSI (Cyble Global Sensor Intelligence) a détecté une menace d’exploitation d’une faille de sécurité au sein d’Aiohttp par le groupe controversé ShadowSyndicate, anciennement connu sous le nom d’Infra Storm. Identifiée sous le nom CVE-2024-23334, cette vulnérabilité a suscité une réaction immédiate de la part de la communauté de la cybersécurité, compte tenu de son caractère critique.
La faille identifiée dans Aiohttp, qui affecte les versions antérieures à la 3.9.2, a provoqué une alarme en permettant à des hackers non authentifiés, via une attaque à distance, de pénétrer sur des serveurs et d’accéder à des informations sensibles en exploitant une vulnérabilité de traversée de répertoires.
Aiohttp est prisé pour son efficacité dans l’exécution de tâches asynchrones en Python, un fait qui a rendu sa faille particulièrement préoccupante du fait de son utilisation généralisée, avec plus de 43 000 instances détectées à l’échelle mondiale.
Exploitation de la faille Aiohttp par le groupe ShadowSyndicate
L’utilisation d’Aiohttp était particulièrement répandue dans des pays comme les États-Unis, l’Allemagne et l’Espagne, ce qui les a rendus des cibles de choix pour des acteurs malveillants tels que le groupe ShadowSyndicate. Une mise à jour immédiate vers la dernière version d’Aiohttp était fortement recommandée pour diminuer les risques découlant de cette faille.
Les analyses menées par Cyble Research and Intelligence Labs (CRIL) ont mis en lumière la gravité de la CVE-2024-23334, mise en évidence par un score CVSS élevé de 7.5, signalant le potentiel de dommage important en cas d’exploitation.
Les découvertes de CGSI révèlent l’existence d’une preuve de concept (PoC) de l’exploit circulant sur Internet, accompagnée de vidéos didactiques détaillant son fonctionnement. Peu après sa mise en ligne, CGSI a repéré de multiples tentatives d’exploration visant à exploiter cette vulnérabilité.
Analyse technique de la faille Aiohttp
Une analyse technique a permis de comprendre que la faille d’Aiohttp découlait d’une incapacité à valider correctement les chemins de fichiers, notamment en présence de liens symboliques. Cette lacune a permis un accès non autorisé à des fichiers sensibles, même sans l’emploi de liens symboliques.
L’analyse des tentatives d’exploitation a attribué une adresse IP, 81[.]19[.]136[.]251, au groupe ShadowSyndicate. Ce groupe, connu pour son implication dans les opérations de rançongiciels, représente une menace conséquente pour les organisations à travers le monde. Leur historique d’incidents liés aux rançongiciels, remontant à 2022, démontre leur compétence dans la réalisation de cyberattaques à des fins lucratives.
Les incidents liés à ShadowSyndicate, incluant les campagnes de rançongiciels Quantum, Nokoyawa et ALPHV, soulignent leur capacité d’adaptation et leur persévérance dans le domaine de la cybercriminalité. Bien qu’aucune attaque utilisant la vulnérabilité Aiohttp n’ait été observée, les tentatives de balayage par ShadowSyndicate mettent en lumière la menace potentielle pesant sur les systèmes non corrigés.
Clause de non-responsabilité : Ce rapport se fonde sur des recherches internes et externes obtenues par divers moyens. Les informations fournies sont à des fins de référence uniquement, et il incombe entièrement aux utilisateurs de s’y fier. Hackitude n’assume aucune responsabilité quant à l’exactitude ou les conséquences de l’utilisation de cette information.