«Varias implementaciones en la nube» ya están comprometidas luego de la divulgación de la vulnerabilidad de máxima gravedad en Aviatrix Controller, dicen los investigadores.
CVE-2024-50603 conduce a la ejecución remota de código (RCE) y las implementaciones predeterminadas de Aviatrix Controller en AWS permiten la escalada de privilegios, lo que lo hace especialmente peligroso.
Esa amenaza se ve agravada por el hecho de que la vulnerabilidad, que se reveló el 7 de enero, ahora tiene disponible públicamente un exploit de prueba de concepto (PoC). Un investigador independiente lo publicó en línea un día después de la divulgación inicial, una práctica generalmente mal vista ya que no ofrece a los defensores el tiempo adecuado para aplicar los parches.
Por ejemplo, aunque el última vulnerabilidad de Ivanti Ya fue explotado como un día cero cuando se reveló el 8 de enero, algunos investigadores están esperando hasta finales de esta semana para publicar sus PoC para evitar que las masas tengan en sus manos un plan de ataque.
Aviatrix Controller se utiliza para ayudar a administrar y automatizar las implementaciones de AWS y lo ejecutan aproximadamente el 3 por ciento de todos los clientes de AWS, dijeron los investigadores de Wiz, una proporción relativamente pequeña de todos los clientes.
Sin embargo, el proveedor de seguridad dijo que en el 65 por ciento de estos entornos de nube, donde Aviatrix Controller se implementa en una máquina virtual, existe una ruta de movimiento lateral que permite a los atacantes obtener permisos de administrador.
«Estimamos que la razón de esto es que, de forma predeterminada, Aviatrix Controller recibe altos privilegios de IAM en entornos de nube de AWS a través de los roles que puede asumir, a los que se les debe permitir realizar acciones de IAM para poder funcionar correctamente (según el proveedor). documentación),», los investigadores escribió.
«Este potencial de movimiento lateral convierte a Aviatrix Controller en un objetivo principal para los actores de amenazas que buscan moverse lateralmente y escalar sus privilegios en el entorno de la nube una vez que obtienen acceso inicial al controlador mediante la explotación de este RCE».
Los exploits exitosos ya observados por los investigadores condujeron a la implementación de malware, principalmente con puertas traseras Silver para acceso persistente, mientras que otros se centraron en criptojacking usar XMRig, una medida común para los compromisos de la nube que pueden resultar en elevadas facturas informáticas para el cliente.
Wiz dijo que no ha visto ningún movimiento lateral por parte de los atacantes hasta ahora, pero cree que están reuniendo permisos de nube para utilizarlos en la filtración de datos en una fecha posterior. Entonces extorsión podría convertirse en un factor si no se aborda.
En todos los casos vistos hasta ahora, los entornos comprometidos estuvieron expuestos a Internet y se les aplicaron los parches para el último controlador Aviatrix RCE (CVE-2021-40870), lo que sugiere que, de hecho, fue el último error explotado.
Wiz dijo que los ataques exitosos se llevaron a cabo entre el 7 y el 10 de enero. Publicó los hallazgos al día siguiente y no está claro si han sucedido más desde entonces. Aviatrix dijo en su consultivo el 7 de enero que no tenía conocimiento de ninguna actividad de exploit en ese momento.
En el momento de la divulgación de la vulnerabilidad, Jakub Korepta, jefe de seguridad de infraestructura del proveedor polaco SecuRing y la persona que encontró el error, anotado que un escaneo de Shodan reveló 681 controladores Aviatrix expuestos públicamente.
Los defensores pueden actualizar a la versión 7.2.4996, que no es vulnerable a CVE-2024-50603. El error afecta a las versiones anteriores a la 7.1.4191 y a las comprendidas entre la 7.2.x y la 7.2.4. Si es posible, también es una buena idea impedir el acceso público al controlador a través del puerto 443.
Además, Aviatrix tiene un parche disponible para controladores vulnerables, aunque dijo que es posible que sea necesario volver a aplicarlo en determinadas circunstancias. Descubrió que la solución no era «totalmente persistente en las actualizaciones del controlador» en todos los casos, aunque el estado del controlador pudiera leer «parcheado».
El proveedor dijo que si se parcheaba una versión vulnerable pero luego se actualizaba a una versión anterior a 7.1.4191 o 7.2.4996, sería necesario volver a parchearla.
Además, si ese controlador no tiene un CoPilot asociado que ejecute la versión 4.16.1 o posterior, entonces es hora de aplicar el parche nuevamente. ®
