Hackers Exploit Aviatrix Controller Vulnerability to Deploy Backdoors and Crypto Miners
2025/01/13 TheHackerNews — Aviatrix Controller プラットフォームに影響を及ぼす、深刻なセキュリティ上の脆弱性が、バックドアや暗号通貨マイナーの展開において、悪用されるケースが急増しているという。認証を必要としないリモート・コード実行にいたる可能性を持つ、最も深刻な脆弱性 CVE-2024-50603 (CVSS: 10.0) を武器化する、複数のインシデントに対応中だと、クラウド・セキュリティ企業 Wiz は述べている。
つまり、特定の API エンドポイントが、ユーザーからの入力を適切にサニタイズしないため、この脆弱性の悪用に成功した攻撃者は、悪意の OS システム・コマンドの挿入を可能にする。この脆弱性は、バージョン 7.1.4191/7.2.4996 で修正されている。
この脆弱性を発見/報告したのは、ポーランドのサイバー・セキュリティ企業 Securing のセキュリティ研究者 Jakub Korepta である。その後には、PoC エクスプロイトが公開されている。
Wiz が収集したデータによると、クラウド・エンタープライズ環境の約 3%において、Aviatrix Controller が導入されており、そのうちの 65%で、管理クラウド・コントロール・プレーンの権限への横方向の移動パスが示されているという。それにより、クラウド環境での権限昇格が可能になる。
Wiz の研究者である Gal Nagli/Merav Bar/Gili Tikochinski/Shaked Tanchumaは、「AWS クラウド環境に Aviatrix Controller が導入されると、デフォルトで権限昇格が許可されるため、この脆弱性の悪用により、大きなリスクが生じる」と述べている。
脆弱性 CVE-2024-50603 を悪用する攻撃では、XMRig を用いる暗号通貨マイニングのための、ターゲット・インスタンスへのイニシャル・アクセスが達成され、Sliver C2 フレームワークが取り込まれる。その目的は、永続化と後続のエクスプロイトにあると推測される。
Wiz の研究者たちは、「クラウドにおける横方向への移動に関する、直接的な証拠は見つかっていないが、この脆弱性を悪用する脅威アクターが、ホストのクラウド権限を列挙し、被害者のクラウド環境からデータを盗み出す可能性が高いと考える」と述べている。
脆弱性 CVE-2024-50603 が、積極的に悪用されている現状を理解すべきである。ユーザーに対して強く推奨されるのは、Aviatrix Controller に対する可能な限り早急なパッチ適用と、パブリック・アクセスの防止である。
Aviatrix Controller の脆弱性 CVE-2024-50603 が FIX しました。CVSS スコアは 10.0 ですので、ご利用のチームは、ご注意ください。もう5年以上も前の情報ですが、AWS に 「新しいクイックスタートを使用して、AWS クラウドで Aviatrix User VPN をデプロイする」という関連記事を見つけました。よろしければ、カテゴリ Cloud も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.