.
“Várias implantações em nuvem” já estão comprometidas após a divulgação da vulnerabilidade de gravidade máxima no Aviatrix Controller, dizem os pesquisadores.
CVE-2024-50603 leva à execução remota de código (RCE) e implantações padrão do Aviatrix Controller na AWS permitem escalonamento de privilégios, tornando-o especialmente perigoso.
Essa ameaça é agravada pelo facto de a vulnerabilidade, que foi divulgada em 7 de janeiro, ter agora uma exploração de prova de conceito (PoC) disponível publicamente. Um outro pesquisador publicou-o on-line um dia após a divulgação inicial, uma prática geralmente desaprovada, pois não oferece aos defensores tempo adequado para aplicar quaisquer correções.
Por exemplo, embora a vulnerabilidade mais recente da Ivanti já tenha sido explorada como um dia zero quando foi divulgada em 8 de janeiro, alguns pesquisadores estão adiando até o final desta semana a publicação de seus PoCs para evitar que as massas ponham as mãos em um plano de ataque.
O Aviatrix Controller é usado para ajudar a gerenciar e automatizar implantações da AWS e é executado por aproximadamente 3% de todos os clientes da AWS, disseram os pesquisadores da Wiz – uma proporção relativamente pequena de todos os clientes.
No entanto, o fornecedor de segurança disse que em 65% desses ambientes em nuvem, onde o Aviatrix Controller é implantado em uma máquina virtual, existe um caminho de movimento lateral que permite aos invasores obter permissões de administrador.
“Estimamos que a razão para isso é que, por padrão, o Aviatrix Controller recebe altos privilégios de IAM em ambientes de nuvem AWS por meio das funções que pode assumir, que devem ter permissão para executar ações de IAM para funcionar corretamente (de acordo com as especificações do fornecedor). documentação)”, escreveram os pesquisadores.
“Esse potencial de movimento lateral torna o Aviatrix Controller um alvo principal para os agentes de ameaças que desejam se mover lateralmente e aumentar seus privilégios no ambiente de nuvem, uma vez que obtenham acesso inicial ao controlador por meio da exploração deste RCE.”
As explorações bem-sucedidas já observadas pelos pesquisadores levaram à implantação de malware, envolvendo principalmente backdoors Silver para acesso persistente, enquanto outros se concentraram no cryptojacking usando XMRig – um movimento comum para comprometimentos na nuvem que pode resultar em pesadas contas de computação para o cliente.
Wiz disse que não viu nenhum movimento lateral dos invasores até agora, mas acredita que eles estão reunindo permissões de nuvem para usar na exfiltração de dados posteriormente. Portanto, a extorsão pode tornar-se um factor se não for abordada.
Em todos os casos vistos até agora, os ambientes comprometidos foram expostos à Internet e tiveram os patches do último Aviatrix Controller RCE conhecido (CVE-2021-40870) aplicados, sugerindo que foi de fato o bug mais recente que foi explorado.
Wiz disse que os ataques bem-sucedidos foram realizados entre 7 e 10 de janeiro. Publicou as descobertas no dia seguinte e não está claro se mais ataques aconteceram desde então. A Aviatrix disse em seu comunicado de 7 de janeiro que não tinha conhecimento de nenhuma atividade de exploração no momento.
No momento da divulgação da vulnerabilidade, Jakub Korepta, chefe de segurança de infraestrutura do fornecedor polonês SecuRing e o indivíduo que encontrou o bug, observou que uma varredura Shodan revelou 681 controladores Aviatrix expostos publicamente.
Os defensores podem atualizar para a versão 7.2.4996, que não é vulnerável ao CVE-2024-50603. O bug afeta versões anteriores a 7.1.4191 e entre 7.2.xe 7.2.4. É uma boa ideia impedir o acesso público ao controlador também através da porta 443, se possível.
Além disso, a Aviatrix tem um patch disponível para controladores vulneráveis, embora tenha dito que pode precisar ser reaplicado em determinadas circunstâncias. Ele descobriu que a correção não era “totalmente persistente nas atualizações do controlador” em todos os casos, mesmo que o status do controlador pudesse ser ‘corrigido’.
O fornecedor disse que se uma versão vulnerável fosse corrigida, mas posteriormente atualizada para uma versão anterior a 7.1.4191 ou 7.2.4996, seria necessário repatá-la.
Além disso, se esse controlador não tiver um CoPilot associado executando a versão 4.16.1 ou posterior, é hora de corrigir novamente. ®
.
