Ciberseguridad 360 | Vulnerabilidad en Aviatrix permite la instalación de malware y criptominado

Un fallo de seguridad cr�tico recientemente revelado que afecta a la plataforma de red en la nube Aviatrix Controller ha sido explotado activamente para desplegar puertas traseras y mineros de criptomonedas.

La empresa de seguridad en la nube Wiz ha declarado que est� respondiendo a �m�ltiples incidentes� relacionados con la explotaci�n de CVE-2024-50603 (puntuaci�n CVSS: 10,0), un fallo de m�xima gravedad que podr�a dar lugar a la ejecuci�n remota de c�digo sin autenticaci�n.

Dicho de otro modo, una explotaci�n exitosa del fallo podr�a permitir a un atacante inyectar comandos maliciosos en el sistema operativo debido al hecho de que ciertos puntos finales de la API no limpian adecuadamente la entrada proporcionada por el usuario. La vulnerabilidad se ha corregido en las versiones 7.1.4191 y 7.2.4996.

Jakub Korepta, investigador de seguridad de la empresa polaca de ciberseguridad Securing, ha sido el responsable de descubrir y notificar el fallo. Desde entonces se ha hecho p�blico un exploit de prueba de concepto (PoC).

Los datos recopilados por la empresa de ciberseguridad muestran que alrededor del 3% de los entornos empresariales en la nube tienen desplegado Aviatrix Controller, de los cuales el 65% demuestran una ruta de movimiento lateral a los permisos administrativos del plano de control de la nube. Esto, a su vez, permite la escalada de privilegios en el entorno de la nube.

�Cuando se despliega en entornos de nube AWS, Aviatrix Controller permite la escalada de privilegios por defecto, haciendo que la explotaci�n de esta vulnerabilidad sea un riesgo de alto impacto�, dijeron los investigadores de Wiz Gal Nagli, Merav Bar, Gili Tikochinski y Shaked Tanchuma.

Los ataques del mundo real que aprovechan CVE-2024-50603 est�n aprovechando el acceso inicial a las instancias objetivo para minar criptomoneda utilizando XMRig y desplegando el marco de comando y control (C2) Sliver, probablemente para la persistencia y la explotaci�n posterior.

�Aunque todav�a no hemos visto pruebas directas de movimiento lateral en la nube, creemos que es probable que los actores de la amenaza est�n utilizando la vulnerabilidad para enumerar los permisos en la nube del host y luego pasar a la exfiltraci�n de datos de los entornos en la nube de las v�ctimas�, dijeron los investigadores de Wiz.

A la luz de la explotaci�n activa, se recomienda a los usuarios aplicar los parches tan pronto como sea posible y evitar el acceso p�blico a Aviatrix Controller.

Fuente: thehackernews