Vulnerabilidade GRAVE em Aviatrix Controller
14 de Janeiro de 2025

Atorores de ameaças estão explorando uma vulnerabilidade crítica de execução remota de comandos, identificada como CVE-2024-50603 , em instâncias do Aviatrix Controller para instalar backdoors e mineradores de criptomoedas.

O Aviatrix Controller, que faz parte da Aviatrix Cloud Networking Platform, aprimora a rede, a segurança e a visibilidade operacional para ambientes multi-cloud.

Ele é utilizado por empresas, equipes de DevOps, engenheiros de rede, arquitetos de nuvem e provedores de serviços gerenciados.

Descoberta por Jakub Korepta em 17 de outubro de 2024, a CVE-2024-50603 é causada pelo uso inadequado de funções de sanitização de entrada em algumas ações da API, permitindo que atacantes injetem comandos maliciosos em operações a nível de sistema.

Isso permite que atores de ameaças utilizem solicitações de API especialmente elaboradas para conseguir a execução remota de comandos sem autenticação.

A falha afeta todas as versões do Aviatrix Controller de 7.x até 7.2.4820.

Recomenda-se que os usuários façam upgrade para a versão 7.1.4191 ou 7.2.4996, que abordam o risco da CVE-2024-50603 .

Relatórios da Wiz Research informam que um exploit de prova de conceito (PoC) divulgado no GitHub em 8 de janeiro de 2025, intensificou a exploração da CVE-2024-50603 no ambiente real.

Hackers estão aproveitando a falha para implantar backdoors Sliver e realizar mineração não autorizada da criptomoeda Monero usando XMRig (cryptojacking).

A Wiz afirma que, embora apenas uma pequena porcentagem de ambientes corporativos em nuvem tenha instalações do Aviatrix Controller, a maioria delas constitui um risco para movimento lateral na rede e escalonamento de privilégios.

"Com base em nossos dados, cerca de 3% dos ambientes corporativos em nuvem têm o Aviatrix Controller implantado," explica a Wiz.

No entanto, nossos dados mostram que em 65% desses ambientes, a máquina virtual hospedando o Aviatrix Controller tem um caminho de movimento lateral para permissões administrativas do plano de controle da nuvem.

A Wiz observa que não há evidências dos atacantes realizando movimento lateral, mas acredita-se que os atores de ameaças utilizem a CVE-2024-50603 para enumerar as permissões de nuvem do host e explorar oportunidades de exfiltração de dados.

A Aviatrix recomenda que os usuários impactados façam upgrade para a versão 7.1.4191 ou 7.2.4996 do Aviatrix Controller, que inclui correções para a vulnerabilidade.

Adicionalmente, é notado que o patch deve ser reaplicado se foi aplicado a uma versão anterior à 7.1.4191 ou 7.2.4996, se o Controller for posteriormente atualizado para uma versão anterior à 7.1.4191 ou 7.2.4996, ou se o Controller não possuir um CoPilot associado rodando a versão 4.16.1 ou superior.

Os usuários impactados também devem garantir que o Controller não exponha a porta 443 na internet e que minimizem a superfície de ataque seguindo as diretrizes de acesso IP do Controller recomendadas.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...