Les auteurs de menaces exploitent une vulnérabilité critique d’exécution de commandes à distance, identifiée comme CVE-2024-50603, dans les instances de contrôleur Aviatrix pour installer des portes dérobées et des mineurs de cryptographie.
Le contrôleur Aviatrix, qui fait partie de la plate-forme de réseau Cloud Aviatrix, améliore la mise en réseau, la sécurité et la visibilité opérationnelle pour les environnements multicloud. Il est utilisé par les entreprises, les équipes DevOps, les ingénieurs réseau, les architectes cloud et les fournisseurs de services gérés.
Découvert par Jakub Korepta le 17 octobre 2024, CVE-2024-50603 est causé par une utilisation inadéquate des fonctions de nettoyage des entrées dans certaines actions de l’API, permettant aux attaquants d’injecter des commandes malveillantes dans les opérations au niveau du système.
Cela permet aux acteurs de la menace d’utiliser des demandes d’API spécialement conçues pour exécuter des commandes à distance sans authentification.
La faille affecte toutes les versions du contrôleur Aviatrix à partir de 7.x à 7.2.4820. Il est recommandé aux utilisateurs de passer à la version 7.1.4191 ou 7.2.4996, qui résout le risque CVE-2024-50603.
Exploitation active dans la nature
Wiz Research rapporte qu’un exploit de validation de principe (PoC) publié sur GitHub le 8 janvier 2025 a alimenté l’exploitation de CVE-2024-50603 dans la nature.
Les pirates exploitent la faille pour planter des portes dérobées Sliver et effectuer une extraction non autorisée de crypto-monnaie Monero à l’aide de XMRig (cryptojacking).
Selon Wiz, bien que seul un faible pourcentage des environnements d’entreprise cloud aient des déploiements de contrôleurs Aviatrix, la plupart d’entre eux constituent un risque de mouvement latéral du réseau et d’escalade des privilèges.
« D’après nos données, environ 3% des environnements cloud d’entreprise ont déployé Aviatrix Controller », explique Wiz.
« Cependant, nos données montrent que dans 65% de ces environnements, la machine virtuelle hébergeant le contrôleur Aviatrix dispose d’un chemin de déplacement latéral vers les autorisations administratives du plan de contrôle du cloud. »
Wiz note qu’il n’y a aucune preuve que les attaquants effectuent un mouvement latéral, mais ils pensent que les auteurs de la menace utilisent CVE-2024-50603 pour énumérer les autorisations cloud de l’hôte et explorer les opportunités d’exfiltration de données.
Correctifs disponibles
Aviatrix recommande aux utilisateurs concernés de passer à la version 7.1.4191 ou 7.2.4996 du contrôleur Aviatrix, qui inclut des correctifs pour la vulnérabilité.
De plus, il est à noter que le correctif doit être réappliqué s’il a été appliqué à une version antérieure à 7.1.4191 ou 7.2.4996, si le Contrôleur est ultérieurement mis à niveau vers une version antérieure à 7.1.4191 ou 7.2.4996, ou si le Contrôleur n’a pas de copilote associé exécutant la version 4.16.1 ou supérieure.
Les utilisateurs affectés doivent également s’assurer que le contrôleur n’expose pas le port 443 à Internet et qu’ils minimisent la surface d’attaque en suivant les directives d’accès IP du contrôleur recommandées.