Команда Wiz Incident Response сейчас занимается обработкой нескольких инцидентов, связанных с уязвимостью CVE-2024-50603, которая затрагивает контроллер Aviatrix и может привести к эскалации привилегий в плоскости управления AWS. Уязвимость позволяет злоумышленникам удаленно выполнять произвольные команды в системе и уже была эксплуатирована для криптоджекинга и установки бэкдоров.
Описание
Уязвимость CVE-2024-50603 заключается в некорректной обработке параметров в API контроллера Aviatrix, что позволяет злоумышленникам внедрять вредоносные команды и выполнять их на контроллере. Данные исследования Wiz Research показывают, что около 3% облачных корпоративных сред имеют развернутый контроллер Aviatrix, а 65% из них имеют предустановленные привилегии, что делает их особенно уязвимыми для эксплуатации уязвимости.
Расследование показало, что уязвимость была успешно эксплуатирована в нескольких облачных средах после публикации эксплойта. Злоумышленники использовали доступ, полученный через эксплуатацию уязвимости, для майнинга криптовалюты и установки бэкдоров Sliver. Возможно, они также используют уязвимость для перечисления облачных разрешений и утечки данных из облачных сред.
Уязвимости затрагивают версии Aviatrix Controller до 7.1.4191 и 7.2.x до 7.2.4996. Рекомендуется обновить контроллер до исправленной версии и ввести сетевые ограничения, чтобы предотвратить публичный доступ к контроллеру. Клиенты Wiz могут использовать готовые запросы и рекомендации для обнаружения уязвимых экземпляров Aviatrix Controller в своей среде.
Организации настоятельно рекомендуется обновить контроллер Aviatrix до исправленной версии.
Indicators of Compromise
IPv4 Port Combinations
- 107.172.43.186:3939
- 91.193.19.109:13333
SHA1
- 1ce0c293f2042b677cd55a393913ec052eded4b9
- 41d589a077038048c4b120494719c905e71485ba
- 68d88d1918676c87dcd39c7581c3910a9eb94882
- c4f63a3a6cb6b8aae133bd4c5ac6f2fc9020c349
- c63f646edfddb4232afa5618e3fac4eee1b4b115
- e10e750115bf2ae29a8ce8f9fa14e09e66534a15