研究者らによると、Aviatrixコントローラーの最大重大度の脆弱性の公開を受けて、「いくつかのクラウド展開」がすでに侵害されているという。
CVE-2024-50603 はリモート コード実行 (RCE) につながり、AWS での Aviatrix コントローラーのデフォルト デプロイメントでは権限昇格が許可されるため、特に危険です。
1 月 7 日に公開されたこの脆弱性の概念実証 (PoC) エクスプロイトが現在公開されているという事実によって、その脅威はさらに悪化しています。別の研究者は、最初の公開から 1 日以内にこの情報をオンラインで公開しましたが、これは防御者にパッチを適用する十分な時間を提供できないため、一般に眉をひそめています。
たとえば、最新の Ivanti の脆弱性は 1 月 8 日に公開された時点ですでにゼロデイとして悪用されていましたが、一部の研究者は一般の人々が脆弱性を入手するのを防ぐために、PoC の公開を今週後半まで延期しています。攻撃の設計図。
Wiz の研究者らによると、Aviatrix Controller は AWS 導入の管理と自動化を支援するために使用されており、AWS の全顧客の約 3% によって実行されていますが、これは全顧客の比較的小さな割合です。
しかし、セキュリティ ベンダーによると、これらのクラウド環境の 65% では、Aviatrix Controller が仮想マシン上に展開されており、攻撃者が管理者権限を取得できる横方向の移動パスが存在します。
「この理由は、デフォルトで、Aviatrix コントローラーが引き受けることができるロールを通じて AWS クラウド環境で高い IAM 特権が付与されており、適切に機能するためには IAM アクションの実行を許可する必要があるためであると推定しています (ベンダーの説明によると)文書)」と研究者らは述べた。 書きました。
「この横方向の移動の可能性により、Aviatrix コントローラーは、横方向に移動し、この RCE を悪用してコントローラーへの最初のアクセスを取得した後、クラウド環境で権限を昇格させようとする攻撃者にとっての主要なターゲットになります。」
研究者らによってすでに観察されている成功したエクスプロイトは、主に永続的なアクセスのための Silver バックドアを含むマルウェアの展開につながりましたが、他のものは XMRig を使用したクリプトジャッキングに焦点を当てていました。これは、顧客に高額のコンピューティング料金をもたらす可能性があるクラウド侵害の一般的な動きです。
ウィズ氏は、これまでのところ攻撃者による水平方向の動きは確認されていないが、後日データの引き出しに使用するためにクラウドの権限を収集していると考えていると述べた。したがって、対処せずに放置すると、恐喝が要因となる可能性があります。
これまでに確認されたすべてのケースでは、侵害された環境がインターネットに公開され、最後に知られている Aviatrix コントローラー RCE (CVE-2021-40870) のパッチが適用されており、これが悪用されたのは確かに最新のバグであることを示唆しています。
ウィズ氏は、攻撃が成功したのは1月7日から10日までの間に行われたと述べた。翌日には調査結果を公表したが、その後さらに攻撃が起こったかどうかは不明だ。アヴィアトリックスはその中で次のように述べている。 勧告 1月7日には、当時はエクスプロイト活動を認識していなかった、と発表した。
脆弱性が公開された時点で、ポーランドのベンダー SecuRing のインフラストラクチャ セキュリティ責任者であり、バグを発見した人物である Jakub Korepta 氏は次のように述べています。 注目した Shodan のスキャンにより、公開されている 681 個の Aviatrix コントローラーが明らかになりました。
防御者は、CVE-2024-50603 の影響を受けないバージョン 7.2.4996 にアップグレードできます。このバグは、7.1.4191 より前のバージョンと 7.2.x から 7.2.4 までのバージョンに影響します。可能であれば、ポート 443 を介したコントローラへのパブリック アクセスも防止することをお勧めします。
さらに、Aviatrix は脆弱なコントローラー用のパッチを提供していますが、特定の状況では再適用が必要になる可能性があると述べています。コントローラーのステータスが「パッチ適用済み」となっている場合でも、すべてのケースで修正が「コントローラーのアップグレード後も完全に永続的」ではないことが判明しました。
ベンダーは、脆弱なバージョンにパッチが適用され、その後 7.1.4191 または 7.2.4996 より前のバージョンに更新された場合は、再パッチが必要になると述べました。
また、そのコントローラーにバージョン 4.16.1 以降を実行する関連付けられたコパイロットがない場合は、再度パッチを適用する必要があります。 ®
