Vulnerabilidade GRAVE em Aviatrix Controller

14 de Janeiro de 2025

Atorores de ameaças estão explorando uma vulnerabilidade crítica de execução remota de comandos, identificada como CVE-2024-50603 , em instâncias do Aviatrix Controller para instalar backdoors e mineradores de criptomoedas.

O Aviatrix Controller, que faz parte da Aviatrix Cloud Networking Platform, aprimora a rede, a segurança e a visibilidade operacional para ambientes multi-cloud.

Ele é utilizado por empresas, equipes de DevOps, engenheiros de rede, arquitetos de nuvem e provedores de serviços gerenciados.

Descoberta por Jakub Korepta em 17 de outubro de 2024, a CVE-2024-50603 é causada pelo uso inadequado de funções de sanitização de entrada em algumas ações da API, permitindo que atacantes injetem comandos maliciosos em operações a nível de sistema.

Isso permite que atores de ameaças utilizem solicitações de API especialmente elaboradas para conseguir a execução remota de comandos sem autenticação.

A falha afeta todas as versões do Aviatrix Controller de 7.x até 7.2.4820.

Recomenda-se que os usuários façam upgrade para a versão 7.1.4191 ou 7.2.4996, que abordam o risco da CVE-2024-50603 .

Relatórios da Wiz Research informam que um exploit de prova de conceito (PoC) divulgado no GitHub em 8 de janeiro de 2025, intensificou a exploração da CVE-2024-50603 no ambiente real.

Hackers estão aproveitando a falha para implantar backdoors Sliver e realizar mineração não autorizada da criptomoeda Monero usando XMRig (cryptojacking).

A Wiz afirma que, embora apenas uma pequena porcentagem de ambientes corporativos em nuvem tenha instalações do Aviatrix Controller, a maioria delas constitui um risco para movimento lateral na rede e escalonamento de privilégios.

"Com base em nossos dados, cerca de 3% dos ambientes corporativos em nuvem têm o Aviatrix Controller implantado," explica a Wiz.

No entanto, nossos dados mostram que em 65% desses ambientes, a máquina virtual hospedando o Aviatrix Controller tem um caminho de movimento lateral para permissões administrativas do plano de controle da nuvem.

A Wiz observa que não há evidências dos atacantes realizando movimento lateral, mas acredita-se que os atores de ameaças utilizem a CVE-2024-50603 para enumerar as permissões de nuvem do host e explorar oportunidades de exfiltração de dados.

A Aviatrix recomenda que os usuários impactados façam upgrade para a versão 7.1.4191 ou 7.2.4996 do Aviatrix Controller, que inclui correções para a vulnerabilidade.

Adicionalmente, é notado que o patch deve ser reaplicado se foi aplicado a uma versão anterior à 7.1.4191 ou 7.2.4996, se o Controller for posteriormente atualizado para uma versão anterior à 7.1.4191 ou 7.2.4996, ou se o Controller não possuir um CoPilot associado rodando a versão 4.16.1 ou superior.

Os usuários impactados também devem garantir que o Controller não exponha a porta 443 na internet e que minimizem a superfície de ataque seguindo as diretrizes de acesso IP do Controller recomendadas.

Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...