Tehdit aktörleri, arka kapıları ve kripto madencilerini yüklemek için Aviatrix Denetleyici örneklerinde CVE-2024-50603 olarak takip edilen kritik bir uzaktan komut yürütme güvenlik açığından yararlanıyor.
Aviatrix Bulut Ağ Platformunun bir parçası olan Aviatrix Denetleyicisi, çoklu bulut ortamları için ağı, güvenliği ve operasyonel görünürlüğü geliştirir. İşletmeler, DevOps ekipleri, ağ mühendisleri, bulut mimarları ve yönetilen hizmet sağlayıcılar tarafından kullanılır.
17 Ekim 2024’te Jakub Korepta tarafından keşfedilen CVE-2024-50603, bazı API eylemlerinde giriş temizleme işlevlerinin yetersiz kullanımından kaynaklanıyor ve saldırganların sistem düzeyindeki işlemlere kötü amaçlı komutlar yerleştirmesine olanak tanıyor.
Bu, tehdit aktörlerinin, kimlik doğrulaması olmadan uzaktan komut yürütmek için özel hazırlanmış API isteklerini kullanmasına olanak tanır.
Kusur, Aviatrix Controller’ın 7.x’ten 7.2.4820’ye kadar tüm sürümlerini etkiliyor. Kullanıcıların, CVE-2024-50603 riskini ele alan 7.1.4191 veya 7.2.4996 sürümüne yükseltmeleri önerilir.
Vahşi doğada aktif sömürü
Wiz Research, 8 Ocak 2025’te GitHub’da yayınlanan bir kavram kanıtlama (PoC) istismarının, CVE-2024-50603’ün vahşi ortamda sömürülmesine yol açtığını bildirdi.
Bilgisayar korsanları bu kusurdan yararlanarak Sliver’ın arka kapılarını yerleştiriyor ve XMRig (kripto hırsızlığı) kullanarak yetkisiz Monero kripto para madenciliği gerçekleştiriyor.
Wiz, bulut kurumsal ortamlarının yalnızca küçük bir yüzdesinin Aviatrix Denetleyici dağıtımlarına sahip olmasına rağmen çoğunun, yanal ağ hareketi ve ayrıcalık artışı için risk oluşturduğunu söylüyor.
Wiz, “Verilerimize göre, bulut kurumsal ortamlarının yaklaşık %3’ünde Aviatrix Denetleyici konuşlandırılmıştır” diye açıklıyor.
“Ancak verilerimiz, bu tür ortamların %65’inde, Aviatrix Controller’ı barındıran sanal makinenin, yönetim bulutu kontrol düzlemi izinlerine doğru yanal bir hareket yoluna sahip olduğunu gösteriyor.”
Wiz, saldırganların yanal hareket yaptığına dair bir kanıt bulunmadığını ancak tehdit aktörlerinin ana bilgisayarın bulut izinlerini sıralamak ve veri sızdırma fırsatlarını keşfetmek için CVE-2024-50603’ü kullandığına inandıklarını belirtiyor.
Düzeltmeler mevcut
Aviatrix, etkilenen kullanıcıların, güvenlik açığına yönelik düzeltmeler içeren Aviatrix Controller sürüm 7.1.4191 veya 7.2.4996’ya yükseltme yapmalarını önerir.
Ek olarak, yamanın 7.1.4191 veya 7.2.4996’dan önceki bir sürüme uygulanması, Denetleyicinin daha sonra 7.1.4191 veya 7.2.4996’dan önceki bir sürüme yükseltilmesi veya yamanın yeniden uygulanması gerektiği belirtilmektedir. Denetleyicinin 4.16.1 veya daha üst sürümünü çalıştıran ilişkili bir CoPilot’u yok.
Etkilenen kullanıcılar ayrıca Denetleyicinin 443 numaralı bağlantı noktasını internete maruz bırakmadığından ve önerilen Denetleyici IP erişim yönergelerini izleyerek saldırı yüzeyini en aza indirdiğinden emin olmalıdır.