Критическая уязвимость в Aviatrix Controller: угроза безопасности

Изображение: www.wiz.io
Недавно выявленная уязвимость в API Aviatrix Controller ставит под угрозу безопасность облачных систем. Проблема заключается в неправильной обработке пользовательских параметров, что позволяет злоумышленникам запускать произвольные команды на контроллере, не проходя аутентификацию. Данная уязвимость, отмеченная как CVE-2024-50603, имеет критическую оценку CVSS 10,0 и представляет серьезную угрозу для пользователей.
Описание уязвимости
Причина возникновения уязвимости связана с ненадлежащей обработкой параметров, таких как cloud_type и src_cloud_type, в командных строках. Это позволяет злоумышленникам внедрять вредоносные команды в систему. Все скомпрометированные устройства подтвердили свою уязвимость к CVE-2024-50603, при этом не являясь уязвимыми для предшествующей уязвимости CVE-2021-40870.
Обнаружение вредоносного ПО
Вредоносное ПО, развернутое в период с 7 по 10 января 2025 года, использовалось хакерами для:
- Майнинга криптовалюты с помощью XMRig;
- Развертывания бэкдоров Sliver для сохранения доступа после исправлений.
Рекомендации по устранению уязвимости
В связи с вышеописанными угрозами, экспертами настоятельно рекомендуется:
- Обновить Aviatrix Controller до исправленных версий 7.1.4191 и 7.2.4996.
- Провести криминалистический анализ устройств.
- Отслеживать любые попытки бокового перемещения к плоскости управления облаком.
- Провести тщательные расследования на предмет признаков предшествующей компрометации.
- Устранить потенциальные бэкдоры и предотвратить несанкционированный доступ к облачной системе управления.
Мониторинг и проверка безопасности
Организациям стоит обратить внимание на следующие методы мониторинга:
- Проверка страницы угроз на наличие тех, которые связаны с размещением Aviatrix Controller;
- Использование инструментов, таких как Security Graph и Cloud Events Explorer, для обнаружения вредоносных программ;
- Отслеживание сетевых IOCs, предупреждений о безопасности от облачных провайдеров, аномальных запросов DNS и подозрительных исходящих подключений.
Соблюдение этих рекомендаций поможет минимизировать риски, связанные с уязвимостью и обеспечит безопасность облачных систем.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу. Ознакомиться подробнее с отчетом можно по ссылке.



