脅威者は、Aviatrix Controllerインスタンスにおいて、CVE-2024-50603として追跡されているリモートコマンド実行の重大な脆弱性を悪用し、バックドアや暗号マイナーをインストールしています。
Aviatrix Controllerは、Aviatrix Cloud Networking Platformの一部であり、マルチクラウド環境のネットワーキング、セキュリティ、運用の可視性を強化します。企業、DevOpsチーム、ネットワーク・エンジニア、クラウド・アーキテクト、マネージド・サービス・プロバイダーによって使用されている。
2024年10月17日にJakub Koreptaによって発見されたCVE-2024-50603は、一部のAPIアクションにおける入力サニタイズ機能の不適切な使用によって引き起こされ、攻撃者が悪意のあるコマンドをシステムレベルの操作に注入することを可能にします。
これにより、攻撃者は、特別に細工されたAPIリクエストを使用して、認証なしでリモートコマンドを実行することができます。
この欠陥は、7.x から 7.2.4820 までの Aviatrix Controller のすべてのバージョンに影響します。ユーザーは、CVE-2024-50603 のリスクに対処した 7.1.4191 または 7.2.4996 のいずれかにアップグレードすることを推奨します。
野生のアクティブな悪用
Wiz Researchによると、2025年1月8日にGitHubで公開された概念実証(PoC)エクスプロイトにより、CVE-2024-50603の悪用が活発化している。
ハッカーはこの欠陥を利用してSliverバックドアを設置し、XMRigを使用した不正なMonero暗号通貨マイニング(クリプトジャッキング)を行っている。
Wiz社によると、クラウド企業環境でAviatrix Controllerを導入しているのはごく一部だが、そのほとんどがネットワークの横移動と権限昇格のリスクになるという。
「当社のデータによると、クラウド企業環境の約3%にAviatrix Controllerが導入されています」とWiz氏は説明する。
「しかし、我々のデータによると、そのような環境の65%において、Aviatrix Controllerをホストしている仮想マシンは、クラウドのコントロール・プレーンの管理者権限への横方向の移動経路を持っている。
Wizは、攻撃者が横方向の移動を行ったという証拠はないが、脅威者はホストのクラウド権限を列挙し、データ流出の機会を探るためにCVE-2024-50603を利用していると考えていると指摘している。
修正プログラム
Aviatrixは、影響を受けたユーザーに対して、脆弱性の修正が含まれたAviatrix Controllerバージョン7.1.4191または7.2.4996へのアップグレードを推奨している。
さらに、パッチが7.1.4191または7.2.4996より前のバージョンに適用されている場合、Controllerが後に7.1.4191または7.2.4996より前のバージョンにアップグレードされた場合、またはControllerがバージョン4.16.1以降を実行している関連CoPilotを持っていない場合は、パッチを再適用する必要があることが指摘されている。
また、影響を受けるユーザーは、Controllerが443番ポートをインターネットに公開していないことを確認し、推奨されるController IPアクセスガイドラインに従って、攻撃対象領域を最小限に抑える必要があります。
Comments