Aviatrix Controller bulut ağ platformunu etkileyen, yakın zamanda açıklanan kritik bir güvenlik açığı, arka kapıları ve kripto para birimi madencilerini dağıtmak için vahşi ortamda aktif olarak istismar ediliyor.
Bulut güvenlik firması Wiz, şu anda silahlanmayı içeren “birden fazla olaya” müdahale ettiğini söyledi. CVE-2024-50603 (CVSS puanı: 10,0), kimliği doğrulanmamış uzaktan kod yürütülmesine neden olabilecek maksimum önem derecesine sahip bir hata.
Başka bir deyişle, kusurun başarılı bir şekilde kullanılması, belirli API uç noktalarının kullanıcı tarafından sağlanan girişi yeterince temizlememesi nedeniyle bir saldırganın kötü amaçlı işletim sistemi komutları enjekte etmesine izin verebilir. Güvenlik açığı 7.1.4191 ve 7.2.4996 sürümlerinde giderildi.
Polonyalı siber güvenlik şirketi Securing’de güvenlik araştırmacısı olan Jakub Korepta, bu eksikliği keşfetme ve raporlama konusunda itibar kazandı. O zamandan beri bir kavram kanıtlama (PoC) istismarı kamuya açık hale getirildi.
Siber güvenlik şirketi tarafından toplanan veriler, bulut kurumsal ortamlarının yaklaşık %3’ünün Aviatrix Denetleyicisinin konuşlandırıldığını ve bunların %65’inin yönetimsel bulut kontrol düzlemi izinlerine yanal bir hareket yolu gösterdiğini gösteriyor. Bu da bulut ortamında ayrıcalık artışına olanak tanır.
Wiz araştırmacıları Gal Nagli, Merav Bar, Gili Tikochinski ve Shaked Tanchuma, “AWS bulut ortamlarında dağıtıldığında, Aviatrix Controller varsayılan olarak ayrıcalık yükseltmeye izin vererek bu güvenlik açığından yararlanılmasını yüksek etkili bir risk haline getiriyor” dedi.
CVE-2024-50603’ü kullanan gerçek dünya saldırıları, XMRig kullanarak kripto para madenciliği yapmak ve Sliver komuta ve kontrol (C2) çerçevesini dağıtmak için hedef örneklere ilk erişimden yararlanıyor; bu da muhtemelen kalıcılık ve devam eden istismar için.
Wiz araştırmacıları, “Bulut yanal hareketine ilişkin doğrudan bir kanıt henüz görmemiş olsak da, tehdit aktörlerinin ana bilgisayarın bulut izinlerini sıralamak ve ardından kurbanların bulut ortamlarından veri sızdırmak için bu güvenlik açığından yararlandığına inanıyoruz.” söz konusu.
Aktif kötüye kullanımın ışığında, kullanıcıların yamaları mümkün olan en kısa sürede uygulamaları ve Aviatrix Controller’a genel erişimi engellemeleri önerilir.