Критическая уязвимость в Aviatrix Controller: угроза безопасности

Критическая уязвимость в Aviatrix Controller: угроза безопасности

Изображение: www.wiz.io

Недавно выявленная уязвимость в API Aviatrix Controller ставит под угрозу безопасность облачных систем. Проблема заключается в неправильной обработке пользовательских параметров, что позволяет злоумышленникам запускать произвольные команды на контроллере, не проходя аутентификацию. Данная уязвимость, отмеченная как CVE-2024-50603, имеет критическую оценку CVSS 10,0 и представляет серьезную угрозу для пользователей.

Описание уязвимости

Причина возникновения уязвимости связана с ненадлежащей обработкой параметров, таких как cloud_type и src_cloud_type, в командных строках. Это позволяет злоумышленникам внедрять вредоносные команды в систему. Все скомпрометированные устройства подтвердили свою уязвимость к CVE-2024-50603, при этом не являясь уязвимыми для предшествующей уязвимости CVE-2021-40870.

Обнаружение вредоносного ПО

Вредоносное ПО, развернутое в период с 7 по 10 января 2025 года, использовалось хакерами для:

  • Майнинга криптовалюты с помощью XMRig;
  • Развертывания бэкдоров Sliver для сохранения доступа после исправлений.

Рекомендации по устранению уязвимости

В связи с вышеописанными угрозами, экспертами настоятельно рекомендуется:

  • Обновить Aviatrix Controller до исправленных версий 7.1.4191 и 7.2.4996.
  • Провести криминалистический анализ устройств.
  • Отслеживать любые попытки бокового перемещения к плоскости управления облаком.
  • Провести тщательные расследования на предмет признаков предшествующей компрометации.
  • Устранить потенциальные бэкдоры и предотвратить несанкционированный доступ к облачной системе управления.

Мониторинг и проверка безопасности

Организациям стоит обратить внимание на следующие методы мониторинга:

  • Проверка страницы угроз на наличие тех, которые связаны с размещением Aviatrix Controller;
  • Использование инструментов, таких как Security Graph и Cloud Events Explorer, для обнаружения вредоносных программ;
  • Отслеживание сетевых IOCs, предупреждений о безопасности от облачных провайдеров, аномальных запросов DNS и подозрительных исходящих подключений.

Соблюдение этих рекомендаций поможет минимизировать риски, связанные с уязвимостью и обеспечит безопасность облачных систем.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу. Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: