Una falla de seguridad crítica revelada recientemente que afecta a la Controlador Aviadora La plataforma de redes en la nube ha sido objeto de explotación activa en la naturaleza para implementar puertas traseras y mineros de criptomonedas.
La empresa de seguridad en la nube Wiz dijo que actualmente está respondiendo a “múltiples incidentes” relacionados con el uso de armas en CVE-2024-50603 (Puntuación CVSS: 10,0), un error de gravedad máxima que podría provocar la ejecución remota de código no autenticado.
Dicho de otra manera, una explotación exitosa de la falla podría permitir a un atacante inyectar comandos maliciosos del sistema operativo debido al hecho de que ciertos puntos finales API no desinfectan adecuadamente la entrada proporcionada por el usuario. La vulnerabilidad se ha solucionado en las versiones 7.1.4191 y 7.2.4996.
A Jakub Korepta, investigador de seguridad de la empresa polaca de ciberseguridad Securing, se le atribuye el mérito de descubrir e informar la deficiencia. Desde entonces se ha desarrollado un exploit de prueba de concepto (PoC). puesto a disposición del público.
Los datos recopilados por la empresa de ciberseguridad muestran que alrededor del 3% de los entornos empresariales en la nube tienen implementado Aviatrix Controller, de los cuales el 65% de ellos demuestra una ruta de movimiento lateral hacia los permisos administrativos del plano de control de la nube. Esto, a su vez, permite la escalada de privilegios en el entorno de la nube.
“Cuando se implementa en entornos de nube de AWS, Aviatrix Controller permite la escalada de privilegios de forma predeterminada, lo que hace que la explotación de esta vulnerabilidad sea un riesgo de alto impacto”, afirman los investigadores de Wiz Gal Nagli, Merav Bar, Gili Tikochinski y Shaked Tanchuma. dicho.
Los ataques del mundo real que explotan CVE-2024-50603 están aprovechando el acceso inicial a instancias objetivo para extraer criptomonedas usando XMRig e implementando el marco de comando y control (C2) de Sliver, probablemente para persistencia y explotación posterior.
“Si bien todavía tenemos que ver evidencia directa del movimiento lateral de la nube, creemos que es probable que los actores de amenazas estén utilizando la vulnerabilidad para enumerar los permisos de la nube del host y luego girar para extraer datos de los entornos de nube de las víctimas”, investigadores de Wiz. dicho.
A la luz de la explotación activa, se recomienda a los usuarios aplicar los parches lo antes posible y evitar el acceso público a Aviatrix Controller.
About the Author
