云攻擊者正在大肆利用名為Max - Critical Aviatrix RCE漏洞（編號CVE - 2024 - 50603），此漏洞在CVSS評分中高達10分（滿分10分），能夠在受影響系統(tǒng)上執(zhí)行未經(jīng)身份驗證的遠(yuǎn)程代碼，網(wǎng)絡(luò)犯罪分子借此漏洞植入惡意軟件。

最壞的情況下，該漏洞會讓未經(jīng)身份驗證的遠(yuǎn)程攻擊者在受影響系統(tǒng)上運行任意命令，進而完全掌控該系統(tǒng)。目前，攻擊者利用此漏洞在易受攻擊的目標(biāo)上部署XMRig加密貨幣挖礦惡意軟件和Sliver后門。

CVE - 2024 - 50603：高風(fēng)險漏洞

研究人員于1月10日在博客中警示，該漏洞在亞馬遜Web服務(wù)（AWS）云環(huán)境中尤為危險，因為在此環(huán)境中，Aviatrix Controller默認(rèn)允許權(quán)限提升。

“依據(jù)我們的數(shù)據(jù)，約3%的云企業(yè)環(huán)境部署了Aviatrix Controller。在這些環(huán)境里，托管Aviatrix Controller的虛擬機中有65%存在通向管理云控制平面權(quán)限的橫向移動路徑?！?/p>

數(shù)百家大型企業(yè)運用Aviatrix的技術(shù)管理AWS、Azure、谷歌云平臺（GCP）以及其他多云環(huán)境中的云網(wǎng)絡(luò)。常見應(yīng)用場景包括自動化部署與管理云網(wǎng)絡(luò)基礎(chǔ)設(shè)施，以及管理安全、加密和連接策略等，其客戶包括不少大型集團企業(yè)。

CVE - 2024 - 50603是由于Aviatrix Controller未能正確檢查或驗證用戶，通過其應(yīng)用程序編程接口（API）發(fā)送的數(shù)據(jù)而產(chǎn)生。這是最新暴露出來的一個與各類組織（不論規(guī)模大?。┤找嬖龆嗟腁PI使用相關(guān)的安全風(fēng)險漏洞。其他常見的API相關(guān)風(fēng)險還包括因配置錯誤、缺乏可見性以及安全測試不足而產(chǎn)生的風(fēng)險。

該漏洞存在于所有版本低于7.2.4996或7.1.4191的受支持Aviatrix Controller版本中。Aviatrix已經(jīng)發(fā)布了針對該漏洞的補丁，并且建議相關(guān)組織進行補丁安裝或者升級到Controller的7.1.4191或7.2.4996版本。

Aviatrix公司指出：“在某些情形下，補丁在控制器升級過程中并非完全持久有效，即便控制器狀態(tài)顯示為‘已打補丁’，也必須重新應(yīng)用，例如在不受支持的控制器版本上應(yīng)用補丁這種情況?！?/p>

黑客發(fā)動機會性云攻擊

安全研究員Jakub Korepta（來自SecuRing）發(fā)現(xiàn)了這一漏洞并向Aviatrix報告，于1月7日公開披露了該漏洞的詳細(xì)信息。僅一天之后，一個針對該漏洞的概念驗證利用程序就在GitHub上可獲取，隨即引發(fā)了近乎立即利用的網(wǎng)絡(luò)攻擊與入侵活動。

Wiz人工智能與威脅研究副總裁Alon Schindel表示：“自概念驗證發(fā)布以來，Wiz觀察到大多數(shù)易受攻擊的企業(yè)都未曾更新修復(fù)補丁。目前我們也看到，客戶正在對自己的系統(tǒng)進行修補，從而抵御攻擊者的攻擊。”

Schindel將到目前為止的利用活動描述為主要是一種機會性的活動，是掃描器和自動化工具集在互聯(lián)網(wǎng)上搜尋未打補丁Aviatrix企業(yè)的結(jié)果。

他表示：“盡管在某些情況下，所使用的有效載荷和基礎(chǔ)設(shè)施表明在一些案例中有更高的復(fù)雜性，但大多數(shù)嘗試看起來像是廣泛的掃描，而非針對特定組織的高度定制化或者有針對性的攻擊?！?/p>

現(xiàn)有的數(shù)據(jù)表明，多個威脅行為者（包括有組織的犯罪團伙）正在以多種方式利用該漏洞?！耙罁?jù)環(huán)境的設(shè)置，攻擊者可能會竊取敏感數(shù)據(jù)、訪問云或本地基礎(chǔ)設(shè)施的其他部分或者擾亂正常運營。”

API相關(guān)網(wǎng)絡(luò)風(fēng)險的警示

Ray Kelly稱，Aviatrix Controller漏洞再次讓人們意識到API端點日益增長的風(fēng)險，以及應(yīng)對這些風(fēng)險所面臨的挑戰(zhàn)。該漏洞表明僅僅一個簡單的網(wǎng)絡(luò)調(diào)用就可能攻破服務(wù)器，凸顯了對API進行徹底測試的必要性。鑒于API的規(guī)模、復(fù)雜性以及相互依賴性，并且許多API是由外部軟件和服務(wù)提供商開發(fā)和管理的，這樣的測試可能極具挑戰(zhàn)性。

Kelly進一步表示：“緩解這些風(fēng)險的一個有效方法是建立針對第三方軟件明確的‘治理規(guī)則’。這包括實施針對第三方供應(yīng)商的全面審查流程、執(zhí)行一致的安全措施以及持續(xù)監(jiān)控軟件性能和漏洞?！?/p>

Schindel表示，受新Aviatrix漏洞影響的組織最佳應(yīng)對策略是盡快應(yīng)用該漏洞的補丁。無法立即打補丁的組織應(yīng)該立即限制對Aviatrix Controller的網(wǎng)絡(luò)訪問，僅允許受信任的來源進行訪問。他們還應(yīng)當(dāng)密切監(jiān)控日志和系統(tǒng)行為中的可疑活動或者已知利用指標(biāo)，針對與Aviatrix相關(guān)的異常行為設(shè)置警報，并減少云身份之間不必要的橫向移動路徑。

Aviatrix發(fā)言人Jessica MacGregor表示，鑒于該漏洞潛在的嚴(yán)重性，公司在2024年11月就發(fā)布了針對該漏洞的緊急補丁。該安全補丁適用于所有受支持的版本，并且對已經(jīng)結(jié)束兩年支持的Aviatrix Controller版本同樣適用。該公司還通過多個有針對性的活動私下聯(lián)系客戶，以確保受影響的組織應(yīng)用了補丁，MacGregor稱。

雖然相當(dāng)一部分受影響的客戶已經(jīng)應(yīng)用了補丁并采取了推薦的加固措施，但仍有一些組織尚未進行操作。MacGregor指出，正是這些客戶正在遭受當(dāng)前的攻擊?！半m然我們強烈建議客戶保持軟件的最新狀態(tài)，但在Controller版本6.7 +上應(yīng)用了安全補丁的客戶，即使沒有升級到最新版本也能夠得到保護?！?/p>

參考來源：https://www.darkreading.com/cloud-security/cloud-attackers-exploit-max-critical-aviatrix-rce-flaw