aiohttp惊现高危漏洞：CVE-2024-23334隐私全无（2024.3.29）

奇科厚德安全公告“ShadowSyndicate”团伙的狡猾行径，他们像狡兔三窟的狐狸，目光锐利地穿梭在CVE-2024-23334漏洞的阴影下，寻找着可乘之机。这个漏洞藏匿在aiohttp这一基于Python异步I/O框架Asyncio构建的开源库中，专为处理大量并发HTTP请求而生，摒弃了传统的线程基础网络模式。然而，2024年1月28日，aiohttp版本3.9.2的更新，如同曙光初现，照亮了这片乌云密布的天空。

这个版本的更新，成功修复了CVE-2024-23334漏洞，这是一个高危的路径遍历缺陷，它悄无声息地侵蚀着3.9.1及更早版本的所有aiohttp实例。这个漏洞仿佛打开了潘多拉的盒子，让未经身份验证的远程攻击者能够肆意窥探服务器上的敏感文件，释放出无尽的恶果。

这一切的根源在于aiohttp在处理静态路由时的一个疏忽。当“follow_symlinks”设置为“True”时，它未能对路径进行充分的验证，使得攻击者得以在服务器静态根目录之外自由游走。2024年2月27日，一名研究人员在GitHub上发布了CVE-2024-23334的概念验证(PoC)漏洞利用代码，并在3月初在YouTube上发布了详细的分步利用说明视频。

Cyble的威胁分析师报告称，自2月29日起，他们的扫描仪便捕捉到了针对CVE-2024-23334的利用尝试，且攻击频率持续上升。据估计，全球约有44,170个aiohttp实例暴露在互联网上，成为潜在的攻击目标。然而，由于无法准确识别这些实例的版本信息，我们难以确定易受攻击的aiohttp服务器的确切数量。此外，黑客们还瞄准了Bricks WordPress网站构建器中的一个关键RCE缺陷，企图将其作为突破口，进一步扩大攻击范围。

面对这场来势汹汹的攻击，我们必须提高警惕，如同守护宝藏的勇士，时刻关注着网络安全的防线。只有及时更新软件版本，修补漏洞，才能确保网络安全的大门紧紧关闭，抵御住黑客们的侵袭。