Kritik bir uzaktan kod yürütme (RCE) güvenlik açığı olan CVE-2024-50603, vahşi ortamda aktif olarak istismar edildi ve bulut ortamları için önemli riskler oluşturdu.
Bu güvenlik açığı, yaygın olarak kullanılan bir bulut ağ platformu olan Aviatrix Controller’ı etkiliyor ve ciddi etkisi ve kullanım kolaylığı nedeniyle maksimum CVSS puanı 10,0 olarak belirlendi.
CVE-2024-50603, Aviatrix Denetleyici API’sinde kullanıcı tarafından sağlanan girişin uygunsuz şekilde nötrleştirilmesinden kaynaklanan bir komut ekleme hatasıdır. Özellikle, “list_flightpath_destination_instances” ve “flightpath_connection_test” gibi API uç noktalarındaki “cloud_type” ve “src_cloud_type” gibi parametreler, yeterli temizlik yapılmadan komut dizelerine dahil edilir.
Bu, kimliği doğrulanmamış saldırganların kötü amaçlı işletim sistemi komutları eklemesine olanak tanıyarak rastgele kod yürütülmesine yol açar.
Güvenlik açığı, 7.1.4191’den önceki Aviatrix Controller ve 7.2.4996’dan önceki 7.2.x sürümlerini etkiliyor. Sorunu çözmek için yamalı sürümler yayımlandı ancak birçok sistem korumasız durumda.
Investigate Real-World Malicious Links, Malware & Phishing Attacks With ANY.RUN – Try for Free
Vahşi Doğada Sömürü
Güvenlik açığı, 7 Ocak 2025’te, ertesi gün yayınlanan bir kavram kanıtlama istismarıyla açıklandı. Siber güvenlik firması Wiz Research, birkaç saat içinde birden fazla bulut ortamında aktif istismar gözlemledi.
Tehdit aktörleri, kripto hırsızlığı yapan kötü amaçlı yazılımları (XMRig kullanarak) ve kalıcılık için Sliver arka kapılarını dağıtmak için bu kusurdan yararlandı.
Gözlemlenen tüm vakalarda saldırganlar, CVE-2024-50603’e karşı savunmasız olduğu doğrulanan, kamuya açık Aviatrix Denetleyicilerini hedef aldı.
Bu olaylar 7 Ocak ile 10 Ocak arasında meydana geldi ve Çekirdek tespit şablonunun yayınlanmasının ardından saldırılarda artış yaşandı.
Wiz Research, kurumsal bulut ortamlarının yaklaşık %3’ünün Aviatrix Controller’ı kurduğunu vurguluyor.
Endişe verici bir şekilde, bu ortamların %65’i denetleyicinin sanal makinesinden bulut kontrol düzlemi izinlerine kadar yanal hareket yollarına izin veriyor.
Bu, AWS ortamlarında Aviatrix Denetleyiciye verilen varsayılan yüksek IAM ayrıcalıklarıyla ilişkilendirilir.
Saldırganlar CVE-2024-50603 aracılığıyla erişim elde ettikten sonra potansiyel olarak kurbanın bulut ortamındaki bulut izinlerini sıralayabilir ve ayrıcalıkları yükseltebilirler.
Her ne kadar yanal hareketin doğrudan kanıtı henüz gözlemlenmemiş olsa da, araştırmacılar bunun muhtemelen veri sızdırma veya daha fazla uzlaşma için istismar edildiğine inanıyor.
Etki Azaltma Önerileri
Aviatrix Controller’ı kullanan kuruluşların derhal harekete geçmesi tavsiye edilir:
- Yamalı Sürümlere Yükseltme: Güvenlik açığını azaltmak için 7.1.4191 veya 7.2.4996 sürümüne güncelleyin.
- Ağ Erişimini Kısıtla: Aviatrix Denetleyicisinin kamuya açık olmasını önlemek için ağ kısıtlamaları uygulayın.
- Adli Soruşturmaları Yürütmek: Potansiyel olarak tehlikeye atılmış sistemleri, kötü amaçlı yazılım veya yetkisiz erişim belirtileri açısından analiz edin.
- Yanal Hareket Monitörü: Olağandışı etkinlik veya ayrıcalık yükseltme girişimleri açısından bulut ortamlarını değerlendirin.
- Güvenlik Araçlarından Yararlanın: Ortamınızdaki savunmasız örnekleri belirlemek için Wiz Threat Center sorguları gibi araçları kullanın.
CVE-2024-50603’ün hızla kullanılması, bulut ortamlarında zamanında yama uygulanmasına ve proaktif güvenlik önlemlerine duyulan kritik ihtiyacın altını çiziyor.
Güvenlik açığının kolaylıkla istismar edilmesi ve ayrıcalık yükseltme potansiyeli, onu kurumsal bulut altyapılarından ödün vermek isteyen tehdit aktörleri için birincil hedef haline getiriyor.
Kuruluşlar Aviatrix Controller gibi bulut tabanlı çözümlere giderek daha fazla güvenirken, saldırı yüzeylerinin en aza indirilmesi ve ortaya çıkan tehditlerin izlenmesi gibi güçlü güvenlik uygulamalarının sürdürülmesi, hassas verileri ve operasyonları siber saldırılara karşı korumak için hayati önem taşıyor.
Find this News Interesting! Follow us on Google News, LinkedIn, and X to Get Instant Updates!