Çok sayıda tehdit aktörü, bulut ağı için Aviatrix Controller merkezi yönetim platformunda yakın zamanda açıklanan maksimum önem derecesine sahip bir güvenlik hatasını aktif olarak hedefliyor.
En kötü senaryoda, CVE-2024-50603 (CVSS 10) olarak tanımlanan güvenlik açığı, kimliği doğrulanmamış uzak bir saldırganın etkilenen sistemde rastgele komutlar çalıştırmasına ve sistemin tam kontrolünü ele geçirmesine olanak tanıyabilir. Saldırganlar şu anda XMRig kripto madenciliği kötü amaçlı yazılımını ve Sliver arka kapısını savunmasız hedeflere dağıtmak için bu kusurdan yararlanıyor.
CVE-2024-50603: Yüksek Etkili Bir Güvenlik Açığı
Wiz Security’deki araştırmacılar, güvenlik açığının, Aviatrix Controller’ın varsayılan olarak ayrıcalık yükseltmeye izin verdiği Amazon Web Services (AWS) bulut ortamlarında özellikle ciddi bir risk oluşturduğunu söylüyor bir blogda uyardım 10 Ocak’ta.
Araştırmacılar, “Verilerimize dayanarak, bulut kurumsal ortamlarının yaklaşık %3’ünde Aviatrix Controller konuşlandırılmıştır” dedi. “Bu tür ortamların %65’inde, Aviatrix Controller’ı barındıran sanal makine, yönetim bulutu kontrol düzlemi izinlerine doğru yanal bir hareket yoluna sahiptir.”
Yüzlerce büyük şirket, AWS, Azure, Google Bulut Platformu (GCP) ve diğer çoklu bulut ortamlarındaki bulut ağını yönetmek için Aviatrix teknolojisini kullanıyor. Yaygın kullanım örnekleri arasında bulut ağ altyapısının dağıtımının ve yönetiminin otomatikleştirilmesi ve güvenlik, şifreleme ve bağlantı politikalarının yönetilmesi yer alır. Şirket, müşterileri arasında Heineken, Raytheon, Yara ve IHG Hotels and Resorts gibi kuruluşları listeliyor.
CVE-2024-50603, Aviatrix Denetleyicinin, kullanıcıların uygulama programlama arayüzü (API) aracılığıyla gönderdiği verileri düzgün bir şekilde kontrol etmemesinden veya doğrulamamasından kaynaklanmaktadır. Bu, vurgulamak için en son hatadır API’lerin artan kullanımına bağlı güvenlik riskleri her büyüklükteki kuruluşlar arasında. API ile ilgili diğer yaygın riskler yapılandırma hatalarından, görünürlük eksikliğinden ve yetersiz güvenlik testlerinden kaynaklananları içerir.
Kusur, Aviatrix Controller’ın 7.2.4996 veya 7.1.4191’den önceki tüm desteklenen sürümlerinde mevcuttur. Aviatrix’te var bir yama yayınladı hatayı araştırıyor ve kuruluşların bunu uygulamasını veya Denetleyicinin 7.1.4191 veya 7.2.4996 sürümlerine yükseltmelerini öneriyor.
Şirket, “Belirli durumlarda yamanın denetleyici yükseltmelerinde tamamen kalıcı olmadığını ve denetleyici durumu ‘yamalı’ olarak görüntülense bile yeniden uygulanması gerektiğini” belirtti. Aviatrix, bu tür durumlardan birinin yamanın denetleyicinin desteklenmeyen sürümlerine uygulanması olduğunu söyledi.
Bilgisayar Korsanları Fırsatçı Bulut Saldırıları Düzenliyor
Hatayı keşfedip Aviatrix’e bildiren SecuRing’den güvenlik araştırmacısı Jakub Korepta, kamuya açıklanan ayrıntılar 7 Ocak’ta kusurun farkına varıldı. Sadece bir gün sonra, kavram kanıtı istismarı çünkü hata GitHub’da kullanıma sunuldu ve neredeyse anında istismar etkinliğini tetikledi.
“Kavram kanıtının yayınlanmasından bu yana Wiz, savunmasız örneklerin çoğunun özellikle yama yapılmamış Aviatrix konuşlandırmaları arayan saldırganlar tarafından hedeflendiğini gözlemledi” diyor Alon Schindel, Wiz Yapay Zeka ve Tehdit Araştırması başkan yardımcısı. “Sömürü girişimlerinin genel hacmi sabit kaldı. Ancak müşterilerin sistemlerine yama yaptığını ve saldırganların onları hedeflemesini engellediğini görüyoruz.”
Schindel, istismar faaliyetini doğası gereği büyük ölçüde fırsatçı ve yama yapılmamış Aviatrix örnekleri için İnternet’i tarayan tarayıcılardan ve otomatik araç setlerinden kaynaklandığını belirtiyor.
“Kullanılan yüklerin ve altyapının bir kısmı, birkaç durumda daha fazla karmaşıklığa işaret etse de, girişimlerin çoğu, belirli kuruluşlara yönelik son derece özelleştirilmiş veya hedefli saldırılar yerine geniş kapsamlı görünüyor” diyor.
Mevcut telemetri, organize suç çeteleri de dahil olmak üzere çok sayıda tehdit aktörünün bu kusurdan çeşitli şekillerde yararlandığını gösteriyor. Schindel, en azından şu ana kadar herhangi bir grubun sömürü faaliyetine hakim olduğunu gösteren bir kanıt bulunmadığını söylüyor. “Ortamın kurulumuna bağlı olarak, bir saldırgan hassas verileri sızdırabilir, bulutun veya şirket içi altyapının diğer bölümlerine erişebilir veya normal işlemleri kesintiye uğratabilir” diye belirtiyor.
API Tabanlı Siber Risklere İlişkin Bir Hatırlatma
Black Duck’tan Ray Kelly, Aviatrix Denetleyici güvenlik açığının, hem API uç noktalarıyla ilişkili artan risklerin hem de bunların ele alınmasındaki zorlukların bir başka hatırlatıcısı olduğunu söylüyor. Güvenlik açığı, bir API’ye yapılan basit bir Web çağrısı yoluyla bir sunucunun güvenliğinin nasıl ihlal edilebileceğini gösteriyor ve API’lerin kapsamlı bir şekilde test edilmesi ihtiyacını vurguluyor. Ancak API’lerin boyutu, karmaşıklığı ve birbirine bağımlılığı ile birçok API’nin harici yazılım ve hizmet sağlayıcılar tarafından geliştirilip yönetildiği gerçeği göz önüne alındığında, bu tür testler göz korkutucu olabilir.
Kelly, “Bu riskleri azaltmaya yönelik etkili bir yaklaşım, üçüncü taraf yazılımlar için net ‘yönetim kuralları’ oluşturmaktır” diyor. “Buna, üçüncü taraf sağlayıcılar için kapsamlı inceleme süreçlerinin uygulanması, tutarlı güvenlik önlemlerinin uygulanması ve yazılım performansı ile güvenlik açıklarının sürekli izlenmesi de dahildir.”
Wiz’den Schindel, yeni Aviatrix hatasından etkilenen kuruluşlar için en iyi çözümün şirketin yamasını mümkün olan en kısa sürede uygulamak olduğunu söylüyor. Schindel, hemen yama yapamayan kuruluşların, yalnızca güvenilir kaynakların erişebilmesi için bir IP izin verilenler listesi aracılığıyla Aviatrix Denetleyicisine ağ erişimini kısıtlaması gerektiğini tavsiye ediyor. Ayrıca şüpheli etkinlik veya bilinen istismar göstergelerine karşı günlükleri ve sistem davranışını yakından izlemeli, Aviatrix ile ilişkili anormal davranışlar için uyarılar ayarlamalı ve bulut kimlikleri arasındaki gereksiz yanal hareket yollarını azaltmalıdırlar.
Aviatrix sözcüsü Jessica MacGregor, şirketin potansiyel ciddiyeti göz önüne alındığında Kasım 2024’te güvenlik açığı için bir acil durum yaması yayınladığını söyledi. Güvenlik yaması, desteklenen tüm sürümlere ve ayrıca desteği iki yıl önce sona eren Aviatrix Denetleyici sürümlerine uygulandı. MacGregor, şirketin etkilenen kuruluşların yamayı uyguladığından emin olmak için birden fazla hedefli kampanya aracılığıyla müşterilere özel olarak ulaştığını söylüyor.
Etkilenen müşterilerin önemli bir kısmı yamayı ve önerilen sağlamlaştırma önlemlerini uygulasa da bazı kuruluşlar uygulamadı. Mevcut saldırıları yaşayanların da bu müşteriler olduğunu belirtiyor. “Müşterilerimizin yazılımlarını güncel tutmalarını şiddetle tavsiye etsek de, Güvenlik Düzeltme Eki’ni uygulayan Denetleyici sürümü 6.7+ olan müşteriler, kalıcı düzeltmelerle en son sürümlere yükseltme yapmamış olsalar bile korunabilirler” diyor.
MacGregor, Aviatrix’in sistemlerini yükseltemeyen veya yama yapamayan herkesin iletişime geçmesini istediğini, böylece şirketin en iyi uygulamalara dayalı olarak yapılandırmalarını güçlendirmek için onlarla birlikte çalışabileceğini söylüyor. “Ayrıca Aviatrix yazılımlarını temiz bir duruma geri yüklemek için istismar edildiklerine inanan müşterilerle de yakın işbirliği içinde çalışacağız.”
