满分漏洞来了:Max-Critical Aviatrix RCE 漏洞被积极利用

admin 2025年1月16日23:13:49评论16 views字数 2532阅读8分26秒阅读模式

导 

该安全漏洞编号为 CVE-2024-50603,在 CVSS 评分中为 10 分(满分 10 分),可在受影响的系统上执行未经身份验证的远程代码,网络攻击者可利用该漏洞植入恶意软件。

多个威胁组织正积极瞄准云网络 Aviatrix Controller 集中管理平台中最近披露的最高严重性安全漏洞。

在最坏的情况下,漏洞编号为 CVE-2024-50603的CVSS评分为10分,可能允许未经身份验证的远程攻击者在受影响的系统上运行任意命令并完全控制该系统。攻击者目前正在利用该漏洞在易受攻击的目标上部署 XMRig 加密挖矿恶意软件和 Sliver 后门。

CVE-2024-50603:高影响漏洞

Wiz Security 的研究人员在1 月 10 日的博客中警告说,该漏洞在亚马逊网络服务 (AWS) 云环境中构成了特别严重的风险,因为 Aviatrix Controller 默认允许权限提升。

满分漏洞来了:Max-Critical Aviatrix RCE 漏洞被积极利用

研究人员指出:“根据我们的数据,大约 3% 的云企业环境部署了 Aviatrix Controller。在 65% 的此类环境中,托管 Aviatrix Controller 的虚拟机具有通往管理云控制平面权限的横向移动路径。”

数百家大型公司使用 Aviatrix 的技术来管理 AWS、Azure、Google Cloud Platform (GCP) 和其他多云环境中的云网络。常见用例包括自动部署和管理云网络基础设施,以及管理安全、加密和连接策略。该公司的客户包括喜力、雷神、Yara 和洲际酒店集团等组织。

CVE-2024-50603 源于 Aviatrix Controller 未正确检查或验证用户通过其应用程序编程接口 (API) 发送的数据。这是最新的漏洞,凸显了各种规模的组织越来越多地使用 API 所带来的安全风险。其他常见的 API 相关风险包括配置错误、缺乏可见性和安全测试不足的风险。

该漏洞存在于 7.2.4996 或 7.1.4191 之前所有受支持的 Aviatrix Controller 版本中。Aviatrix 已针对该漏洞发布了补丁,并建议组织应用该补丁或升级到 Controller 的 7.1.4191 或 7.2.4996 版本。

该公司指出:“在某些情况下,该补丁在控制器升级后不会完全生效,必须重新应用,即使控制器状态显示为‘已修补’。”Aviatrix 表示,其中一种情况是在不受支持的控制器版本上应用该补丁。

黑客组织积极利用该漏洞

SecuRing 的安全研究员 Jakub Korepta 发现并向 Aviatrix 报告了该漏洞,并于 1 月 7 日公开披露了该漏洞的细节。仅仅一天之后,该漏洞的概念验证POC就出现在 GitHub 上,并引发针对该漏洞的积极利用。

Wiz 人工智能与威胁研究副总裁 Alon Schindel表示:“自概念验证发布以来,Wiz 发现大多数易受攻击的实例都是攻击者专门针对未打补丁的 Aviatrix 部署而发起的攻击。总体攻击尝试量一直保持稳定。但是,我们看到客户正在修补他们的系统并阻止攻击者攻击他们。”

Schindel认为,迄今为止的漏洞利用活动很大程度上是机会主义的,源自扫描仪和自动化工具集在互联网上搜索未修补的 Aviatrix 实例。

他说:“尽管在某些情况下,所使用的一些有效载荷和基础设施表明攻击更为复杂,但大多数攻击似乎都是大规模攻击,而不是针对特定组织的高度定制或有针对性的攻击。”

可用的遥测数据表明,包括有组织的犯罪团伙在内的多个威胁组织正在以各种方式利用该漏洞。Schindel 表示,至少到目前为止,没有证据表明任何一个团体主导了利用活动。“根据环境的设置,攻击者可能会窃取敏感数据、访问云或本地基础设施的其他部分,或破坏正常运营。”他指出。

基于 API 的网络风险提醒

Black Duck 研究员 Ray Kelly 表示,Aviatrix Controller 漏洞再次提醒人们,API 端点相关的风险越来越大,解决这些风险也面临诸多挑战。

该漏洞表明,通过简单的 Web 调用 API 即可入侵服务器,并强调了对 API 进行全面测试的必要性。但考虑到 API 的规模、复杂性和相互依赖性,以及许多 API 是由外部软件和服务提供商开发和管理的事实,这种测试可能令人望而生畏。

减轻这些风险的一个有效方法是制定明确的第三方软件“管理规则”。包括对第三方供应商实施彻底的审查流程、执行一致的安全措施,以及持续监控软件性能和漏洞。

Wiz 的 Schindel 表示,对于受新 Aviatrix 漏洞影响的组织来说,最好的补救措施是尽快应用该公司的补丁。

Schindel 建议,无法立即修补的组织应通过 IP 允许列表限制对 Aviatrix 控制器的网络访问,以便只有受信任的来源才能访问它。他们还应密切监视日志和系统行为,以查找可疑活动或已知的漏洞指标,设置与 Aviatrix 相关的异常行为警报,并减少其云身份之间不必要的横向移动路径。

Aviatrix 发言人 Jessica MacGregor 表示,考虑到该漏洞的潜在严重性,该公司早在 2024 年 11 月就发布了针对该漏洞的紧急补丁。该安全补丁适用于所有受支持的版本,也适用于两年前已停止支持的 Aviatrix Controller 版本。MacGregor 表示,该公司还通过多个有针对性的活动私下联系客户,以确保受影响的组织应用该补丁。

虽然很大一部分受影响的客户已经应用了补丁并采取了推荐的强化措施,但有些组织却没有。正是这些客户正在遭受当前的攻击。

技术报告:

Wiz Research 发现 Aviatrix Controller RCE 的野外利用情况 (CVE-2024-50603):

https://www.wiz.io/blog/wiz-research-identifies-exploitation-in-the-wild-of-aviatrix-cve-2024-50603

新闻链接:

https://www.darkreading.com/cloud-security/cloud-attackers-exploit-max-critical-aviatrix-rce-flaw

满分漏洞来了:Max-Critical Aviatrix RCE 漏洞被积极利用

扫码关注

军哥网络安全读报

讲述普通人能听懂的安全故事

原文始发于微信公众号(军哥网络安全读报):满分漏洞来了:Max-Critical Aviatrix RCE 漏洞被积极利用

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年1月16日23:13:49
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   满分漏洞来了:Max-Critical Aviatrix RCE 漏洞被积极利用https://cn-sec.com/archives/3626415.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息