複数の攻撃者が、クラウド ネットワーキング用の集中管理プラットフォーム Aviatrix コントローラーで最近明らかになった最大重大度のセキュリティ バグを積極的にターゲットにしています。
最悪のシナリオでは、CVE-2024-50603 (CVSS 10) として特定される脆弱性により、認証されていないリモートの敵対者が影響を受けるシステム上で任意のコマンドを実行し、完全に制御できる可能性があります。攻撃者は現在、この欠陥を悪用して、XMRig クリプトマイニング マルウェアと Sliver バックドアを脆弱なターゲットに展開しています。
CVE-2024-50603: 影響の大きい脆弱性
Wiz Security の研究者によると、この脆弱性は、Aviatrix コントローラーがデフォルトで権限昇格を許可しているアマゾン ウェブ サービス (AWS) クラウド環境で特に深刻なリスクをもたらします。 ブログで警告した 1月です。 10.
「私たちのデータによると、クラウドエンタープライズ環境の約 3% に Aviatrix コントローラーが導入されています」と研究者らは述べています。 「そのような環境の 65% では、Aviatrix Controller をホストする仮想マシンには、管理クラウド コントロール プレーンの権限への横方向の移動パスがあります。」
数百もの大企業が Aviatrix のテクノロジーを使用して、AWS、Azure、Google Cloud Platform (GCP)、その他のマルチクラウド環境にわたるクラウド ネットワーキングを管理しています。一般的な使用例には、クラウド ネットワーク インフラストラクチャの展開と管理の自動化、セキュリティ、暗号化、接続ポリシーの管理が含まれます。同社は、ハイネケン、レイセオン、ヤラ、IHG ホテルズ アンド リゾーツなどの組織を顧客に挙げています。
CVE-2024-50603 は、Aviatrix コントローラーがアプリケーション プログラミング インターフェイス (API) を通じてユーザーが送信するデータを適切にチェックまたは検証していないことが原因で発生します。これは最新のバグです。 API の使用増加に伴うセキュリティ リスク あらゆる規模の組織間で。 その他の一般的な API 関連のリスク これには、構成エラー、可視性の欠如、不適切なセキュリティ テストに起因するものが含まれます。
この欠陥は、7.2.4996 または 7.1.4191 より前の Aviatrix コントローラーのサポートされているすべてのバージョンに存在します。アヴィアトリックスは パッチを発行しました このバグについては、組織がこのバグを適用するか、コントローラーのバージョン 7.1.4191 または 7.2.4996 にアップグレードすることを推奨しています。
「特定の状況では、コントローラのステータスが『パッチ適用済み』と表示されている場合でも、パッチはコントローラのアップグレード間で完全に永続的ではないため、再適用する必要がある」と同社は述べている。 Aviatrix氏によると、そのような状況の1つは、サポートされていないバージョンのコントローラーにパッチを適用することだという。
ハッカーが機会を狙ったクラウド攻撃を仕掛ける
このバグを発見し、Aviatrix に報告した SecuRing のセキュリティ研究者 Jakub Korepta 氏は、次のように述べています。 公表された詳細 1 月 7 日に欠陥が発見されました。そのわずか 1 日後、 概念実証エクスプロイト このバグは GitHub で公開され、ほぼ即座に悪用活動が引き起こされました。
「概念実証のリリース以来、Wiz は、脆弱なインスタンスのほとんどが、パッチが適用されていない Aviatrix デプロイメントを探している攻撃者によって特に標的にされていることを観察しました」と述べています。 Wiz の AI および脅威リサーチ担当副社長、アロン シンデル氏は次のように述べています。 「悪用の試みの全体的な量は安定しています。しかし、顧客がシステムにパッチを適用し、攻撃者がシステムを標的にするのを防いでいるのがわかります。」
シンデル氏は、これまでのところエクスプロイト活動の特徴として、本質的にほとんどが日和見的であり、パッチが適用されていない Aviatrix インスタンスを求めてインターネットをくまなく検索するスキャナーや自動ツール セットから発生していると説明しています。
「使用されたペイロードとインフラストラクチャの一部は、少数のケースでは高度な洗練性を示唆していますが、ほとんどの試みは、特定の組織に対する高度にカスタマイズされた攻撃や標的を絞った攻撃ではなく、広範な掃討であるようです」と彼は言います。
入手可能なテレメトリは、組織的犯罪組織を含む複数の脅威アクターがさまざまな方法でこの欠陥を利用していることを示唆しています。少なくとも今のところ、単一のグループが搾取活動を支配していることを示す証拠はないとシンデル氏は言う。 「環境の設定によっては、攻撃者が機密データを持ち出したり、クラウドやオンプレミスのインフラストラクチャの他の部分にアクセスしたり、通常の運用を妨害したりする可能性があります」と同氏は指摘する。
API ベースのサイバーリスクについての注意喚起
Black Duck のフェローである Ray Kelly 氏は、Aviatrix コントローラーの脆弱性は、API エンドポイントに関連するリスクの増大と、それに対処する際の課題の両方を改めて思い出させるものであると述べています。この脆弱性は、API への単純な Web 呼び出しを介してサーバーがどのように侵害されるかを示しており、API の徹底的なテストの必要性を浮き彫りにしています。しかし、API のサイズ、複雑さ、相互依存性、および多くの API が外部のソフトウェア プロバイダーやサービス プロバイダーによって開発および管理されているという事実を考慮すると、このようなテストは困難を伴う場合があります。
「こうしたリスクを軽減するための効果的なアプローチの 1 つは、サードパーティ製ソフトウェアに対する明確な『ガバナンス規則』を確立することです」とケリー氏は言います。 「これには、サードパーティプロバイダーに対する徹底的な精査プロセスの実装、一貫したセキュリティ対策の実施、ソフトウェアのパフォーマンスと脆弱性の継続的な監視の維持が含まれます。」
Wiz の Schindel 氏は、Aviatrix の新しいバグの影響を受ける組織にとっての最善の手段は、同社のパッチをできるだけ早く適用することだと述べています。すぐにパッチを適用できない組織は、信頼できるソースのみがアクセスできるように、IP ホワイトリストを介して Aviatrix コントローラーへのネットワーク アクセスを制限する必要があると Schindel 氏はアドバイスします。また、不審なアクティビティや既知のエクスプロイト指標がないかログとシステムの動作を注意深く監視し、Aviatrix に関連する異常な動作に対するアラートを設定し、クラウド ID 間の不要な横方向の移動パスを削減する必要があります。
Aviatrixの広報担当者であるJessica MacGregor氏は、同社は潜在的な深刻度を考慮して、2024年11月にこの脆弱性に対する緊急パッチを発行したと述べた。このセキュリティ パッチは、サポートされているすべてのリリースに適用され、2 年前にサポートが終了した Aviatrix コントローラーのバージョンにも適用されました。また同社は、影響を受ける組織にパッチを確実に適用させるために、複数の対象を絞ったキャンペーンを通じて顧客に非公開で連絡を取ったとマグレガー氏は述べた。
影響を受ける顧客の大部分はパッチを適用し、強化策を推奨していますが、一部の組織は適用していません。そして、現在の攻撃を受けているのはこれらの顧客であると彼女は指摘します。 「お客様がソフトウェアを最新の状態に保つことを強くお勧めしますが、セキュリティ パッチを適用しているコントローラ バージョン 6.7 以降のお客様は、永続的な修正が適用された最新バージョンにアップグレードしていなくても保護できます。」と彼女は言います。
MacGregor 氏は、Aviatrix は、システムをアップグレードしたりパッチを適用したりできない人に連絡を取り、同社が協力してベスト プラクティスに基づいて構成を強化できるようにしてほしいと述べています。 「また、Aviatrix ソフトウェアをクリーンな状態に復元するために悪用されたと考える顧客とも緊密に連携していきます。」
