Nedavno otkrivena kritična sigurnosna greška koja utječe na platformu za umrežavanje u cloud-u Aviatrix Controller našla se pod aktivnom eksploatacijom u divljini za implementaciju backdoor-a i miners kriptovaluta.
Firma za sigurnost u cloud-u Wiz rekla je da trenutno reaguje na “više incidenata” koji uključuju naoružavanje CVE-2024-50603 (CVSS rezultat: 10.0), greške maksimalne ozbiljnosti koja bi mogla rezultuju neautoriziranim daljinskim izvršavanjem koda.
Drugačije rečeno, uspješno iskorištavanje propusta moglo bi dozvoliti napadaču da ubaci maliciozne naredbe operativnog sistema zbog činjenice da određene krajnje tačke API-ja ne dezinfikuju na odgovarajući način korisnički dostavljeni unos. Ranjivost je riješena u verzijama 7.1.4191 i 7.2.4996.
Jakub Korepta, istraživač sigurnosti u poljskoj kompaniji za cyber sigurnost Securing, zaslužan je za otkrivanje i prijavljivanje ovog nedostatka. Eksploatacija dokaza koncepta (PoC) je od tada postala javno dostupna .
Podaci koje je prikupila kompanija za cyber sigurnost pokazuju da oko 3% poslovnih okruženja u cloud-u ima raspoređen Aviatrix Controller, od čega 65% njih pokazuje bočni put do dozvola za administrativnu kontrolnu ravninu u cloud-u. Ovo, zauzvrat, omogućava eskalaciju privilegija u okruženju cloud-a.
“Kada je raspoređen u AWS cloud okruženjima, Aviatrix Controller podrazumjevano dozvoljava eskalaciju privilegija, čineći eksploataciju ove ranjivosti rizikom visokog uticaja”, kažu istraživači Wiza Gal Nagli, Merav Bar, Gili Tikochinski i Shaked Tanchuma .
Napadi u stvarnom svijetu koji iskorištavaju CVE-2024-50603 koriste početni pristup ciljnim instancama za miners kriptovalute koristeći XMRig i implementiraju Sliver komandno-kontrolni (C2) okvir, vjerovatno za upornu i naknadnu eksploataciju.
„Iako tek treba da vidimo direktne dokaze bočnog pomeranja cloud-a, verujemo da je verovatno da hakeri koriste ranjivost da nabroje dozvole za oblak hosta, a zatim se okreću ka eksfiltraciji podataka iz okruženja oblaka žrtava“, istraživači Wiza rekao je.
U svjetlu aktivne eksploatacije, korisnicima se preporučuje da primjene zakrpe što je prije moguće i spriječe javni pristup Aviatrix Controlleru.
Izvor:The Hacker News
