Un chercheur en sécurité, Jakub Korepta, a découvert une vulnérabilité critique, identifiée comme CVE-2024-50603 (score CVSS : 10,0), dans Aviatrix Controller.
La faille affecte Aviatrix Controller dans les versions inférieures à 7.1.4191 et 7.2.x inférieures à 7.2.4996. Elle permet à des attaquants non authentifiés d'exécuter du code arbitraire en raison d'une neutralisation inadéquate des commandes dans l'API.
Cette vulnérabilité est causée par une neutralisation incorrecte des entrées fournies par l'utilisateur. Elle a été corrigée dans les versions 7.1.4191 et 7.2.4996.
L'équipe Wiz Incident Response a rapporté que des acteurs malveillants exploitent activement cette faille pour déployer des portes dérobées et des mineurs de cryptomonnaie.
« L'équipe Wiz Incident Response répond actuellement à plusieurs incidents impliquant CVE-2024-50603, une vulnérabilité RCE non authentifiée dans Aviatrix Controller, pouvant conduire à une escalade des privilèges dans le plan de contrôle AWS », indique l'avis publié par Wiz. « Les organisations doivent appliquer le correctif de toute urgence. »
Un exploit Proof-of-Concept (PoC) est disponible publiquement.
L’équipe PSIRT d’Aviatrix a confirmé l’exploitation active de la faille.
« Une vulnérabilité pourrait permettre à un utilisateur non authentifié d'exécuter des commandes arbitraires contre Aviatrix Controllers », indique l'avis du PSIRT. « Aviatrix a observé des indices montrant que des acteurs malveillants tentent d'exploiter cette vulnérabilité et recommande fortement de prendre des mesures pour protéger vos contrôleurs. »
Dans AWS, l’escalade de privilèges par défaut d’Aviatrix Controller amplifie le risque d’exploitation, permettant des attaques de cryptojacking et de portes dérobées, selon Wiz Research.
D'après les données collectées par Wiz, environ 3 % des environnements cloud d'entreprise utilisent Aviatrix Controller. Les experts avertissent que, dans 65 % de ces environnements, la machine virtuelle hébergeant Aviatrix Controller présente une voie de mouvement latéral vers les permissions administratives du plan de contrôle cloud.
Les acteurs malveillants exploitent cette vulnérabilité pour miner des cryptomonnaies avec XMRig, déployer des portes dérobées Sliver, et probablement énumérer les permissions cloud en vue d'une exfiltration potentielle des données.
« Nos investigations sur ces cas ont montré que les acteurs malveillants exploitant cette vulnérabilité abusent de leur accès pour miner des cryptomonnaies à l'aide de XMRig et déployer des portes dérobées Sliver, vraisemblablement pour des raisons de persistance (afin d'éviter de perdre l'accès si la machine infectée est corrigée) », conclut Wiz.
« Bien que nous n’ayons pas encore observé de preuves directes de mouvements latéraux dans le cloud, nous pensons qu’il est probable que les acteurs malveillants utilisent cette vulnérabilité pour énumérer les permissions cloud de l’hôte, puis pivotent pour exfiltrer des données des environnements cloud des victimes. »
Sources :
https://securityaffairs.com/173037/cyber...ation.html
https://thehackernews.com/2025/01/hacker...oller.html
https://www.securityweek.com/critical-av...ironments/
La faille affecte Aviatrix Controller dans les versions inférieures à 7.1.4191 et 7.2.x inférieures à 7.2.4996. Elle permet à des attaquants non authentifiés d'exécuter du code arbitraire en raison d'une neutralisation inadéquate des commandes dans l'API.
Cette vulnérabilité est causée par une neutralisation incorrecte des entrées fournies par l'utilisateur. Elle a été corrigée dans les versions 7.1.4191 et 7.2.4996.
L'équipe Wiz Incident Response a rapporté que des acteurs malveillants exploitent activement cette faille pour déployer des portes dérobées et des mineurs de cryptomonnaie.
« L'équipe Wiz Incident Response répond actuellement à plusieurs incidents impliquant CVE-2024-50603, une vulnérabilité RCE non authentifiée dans Aviatrix Controller, pouvant conduire à une escalade des privilèges dans le plan de contrôle AWS », indique l'avis publié par Wiz. « Les organisations doivent appliquer le correctif de toute urgence. »
Un exploit Proof-of-Concept (PoC) est disponible publiquement.
L’équipe PSIRT d’Aviatrix a confirmé l’exploitation active de la faille.
« Une vulnérabilité pourrait permettre à un utilisateur non authentifié d'exécuter des commandes arbitraires contre Aviatrix Controllers », indique l'avis du PSIRT. « Aviatrix a observé des indices montrant que des acteurs malveillants tentent d'exploiter cette vulnérabilité et recommande fortement de prendre des mesures pour protéger vos contrôleurs. »
Dans AWS, l’escalade de privilèges par défaut d’Aviatrix Controller amplifie le risque d’exploitation, permettant des attaques de cryptojacking et de portes dérobées, selon Wiz Research.
D'après les données collectées par Wiz, environ 3 % des environnements cloud d'entreprise utilisent Aviatrix Controller. Les experts avertissent que, dans 65 % de ces environnements, la machine virtuelle hébergeant Aviatrix Controller présente une voie de mouvement latéral vers les permissions administratives du plan de contrôle cloud.
Les acteurs malveillants exploitent cette vulnérabilité pour miner des cryptomonnaies avec XMRig, déployer des portes dérobées Sliver, et probablement énumérer les permissions cloud en vue d'une exfiltration potentielle des données.
« Nos investigations sur ces cas ont montré que les acteurs malveillants exploitant cette vulnérabilité abusent de leur accès pour miner des cryptomonnaies à l'aide de XMRig et déployer des portes dérobées Sliver, vraisemblablement pour des raisons de persistance (afin d'éviter de perdre l'accès si la machine infectée est corrigée) », conclut Wiz.
« Bien que nous n’ayons pas encore observé de preuves directes de mouvements latéraux dans le cloud, nous pensons qu’il est probable que les acteurs malveillants utilisent cette vulnérabilité pour énumérer les permissions cloud de l’hôte, puis pivotent pour exfiltrer des données des environnements cloud des victimes. »
Sources :
https://securityaffairs.com/173037/cyber...ation.html
https://thehackernews.com/2025/01/hacker...oller.html
https://www.securityweek.com/critical-av...ironments/
![[-]](https://www.tisi-fr.com/board/images/collapse.png)
