Un recente difetto di sicurezza critico nel sistema di networking cloud Aviatrix Controller è stato sfruttato attivamente per installare backdoor e miner di criptovaluta. L'azienda di sicurezza cloud Wiz ha segnalato di essere attualmente impegnata in diverse operazioni per contrastare l'uso malevolo della vulnerabilità CVE-2024-50603, che ha ottenuto un punteggio massimo di 10.0 nella scala CVSS, indicante la possibilità di eseguire codice da remoto senza autenticazione.

Dettagli dell'Exploit

L'exploit di questo difetto permette agli aggressori di iniettare comandi dannosi nel sistema operativo attraverso endpoint API che non convalidano adeguatamente gli input forniti dagli utenti. Gli aggiornamenti per risolvere questa vulnerabilità sono disponibili nelle versioni 7.1.4191 e 7.2.4996 del software. Il ricercatore di sicurezza Jakub Korepta della società di cybersicurezza polacca Securing ha scoperto e segnalato questa vulnerabilità, e un proof-of-concept è stato reso pubblico per dimostrare l'exploit.

Impatto sugli Ambienti Cloud

Dati raccolti dalla società di cybersicurezza indicano che circa il 3% degli ambienti cloud aziendali utilizzano Aviatrix Controller, e tra questi, il 65% presenta un percorso di movimento laterale verso i permessi amministrativi del piano di controllo cloud, aumentando così il rischio di escalation dei privilegi. In particolare, negli ambienti cloud AWS, Aviatrix Controller consente un'escalation di privilegi per impostazione predefinita, rendendo l'exploit di questa vulnerabilità particolarmente rischioso.

Attacchi e Mitigazioni

Gli attacchi reali che sfruttano CVE-2024-50603 utilizzano l'accesso iniziale per attaccare le istanze al fine di minare criptovalute tramite XMRig e implementare il framework di comando e controllo Sliver, probabilmente per garantire la persistenza e ulteriori exploit. Nonostante non ci siano prove dirette di movimenti laterali nel cloud, si ritiene che gli attori delle minacce stiano utilizzando la vulnerabilità per enumerare i permessi cloud dell'host e quindi esfiltrare dati dagli ambienti cloud delle vittime.

Raccomandazioni

Alla luce di questi sfruttamenti attivi, gli utenti sono invitati ad applicare le patch il prima possibile e a prevenire l'accesso pubblico al Controller Aviatrix. Aviatrix ha dichiarato di essere stata notificata della vulnerabilità a fine ottobre e ha rilasciato una patch rapida a inizio novembre. Oltre a questo, l'azienda ha intrapreso diverse campagne mirate per assicurarsi che i clienti fossero aggiornati e protetti, anche nelle versioni del software ormai non più supportate.