Datum der Offenlegung (Quelle): Januar 7, 2025
Datum der Meldung als aktiv ausgenutzt (Quelle): 7. Januar 2025
CVE-2024-50603 ist eine kritische Sicherheitslücke, die alle unterstützten Versionen von Aviatrix Controller vor 7.1.4191 und 7.2.x vor 7.2.4996 betrifft und einen CVSS-Score von 10.0 aufweist.
Ein technischer Bericht der von SecuRing veröffentlicht wurde, werden die folgenden anfälligen Komponenten aufgeführt:
- wolken_typ Parameter des Befehls list_flightpath_destination_instances Aktion
- src_wolke_typ Parameter des Befehls flightpath_connection_test Aktion
Nicht authentifizierte Angreifer können bösartige Eingaben in einer POST-Anfrage an /v1/api Endpunkt mit diesen Parametern senden und bösartigen Code auf dem zugrunde liegenden Server ausführen. Ein Beispiel für ein Konzept ist in der obigen technischen Beschreibung zu finden.
Mehrere Medien haben über die aktive Ausnutzung dieser Schwachstelle in freier Wildbahn berichtet. Zwar wurden keine spezifischen Bedrohungsakteure genannt, doch wurde ein bösartiger Host beobachtet, der versuchte, diese Schwachstelle im GreyNoise Visualizer (GreyNoise Abfrage).
| Feld |
Einzelheiten |
| CVE-ID |
CVE-2024-50603 - CVSS 10.0 (kritisch) - zugewiesen von Mitre |
| Schwachstelle Beschreibung |
Aufgrund der unsachgemäßen Neutralisierung spezieller Elemente, die in einem OS-Befehl verwendet werden, ist ein nicht authentifizierter Angreifer in der Lage, beliebigen Code auszuführen. Shell-Metazeichen können gesendet werden an /v1/api in cloud_type für list_fluchtweg_ziel_instanzenoder src_wolke_art für flightpath_connection_test. |
| Datum der Offenlegung |
7. Januar 2025 |
| Betroffene Vermögenswerte |
Aviatrix-Steuerung /v1/api Endpunkt:
-
- wolken_typ Parameter des Befehls list_flightpath_destination _instances Aktion
- src_wolke_typ Parameter des Befehls flightpath_connection_test Aktion
|
| Anfällige Software-Versionen |
Vor 7.1.4191 und 7.2.x vor 7.2.4996 |
| PoC verfügbar? |
A Technischer Bericht von SecuRing beschreibt den Exploit im Detail, und der Exploit-Code ist in einer Nuclei-Vorlage auf GitHub. |
| Verwertungsstatus |
Mehrere Medien haben von einer aktiven Ausnutzung berichtet, und ein bösartiger Host wurde bei dem Versuch beobachtet, diese Sicherheitslücke in GreyNoise auszunutzen. |
| Patch-Status |
Aviatrix hat die Benutzer aufgefordert, den offiziellen Sicherheitspatch herunterzuladen oder den Controller auf 7.1.4191 oder 7.2.4996 zu aktualisieren. Aviatrix hat zusätzliche Hinweise zur Schadensbegrenzung und Anweisungen zur Anwendung des Patches in seinem Sicherheitshinweis. |
Censys Blickwinkel
Zum Zeitpunkt der Erstellung dieses Berichts beobachtete Censys 1,319 exponierte Aviatrix-Controller online. Ein großer Teil davon (86%) ist in den Vereinigten Staaten angesiedelt. Ungefähr 85% der insgesamt exponierten Instanzen werden in AWS gehostet.
Während wir bei einigen dieser Instanzen exponierte Versionen erkennen konnten, haben wir keine Versionen gefunden, die für den Exploit anfällig waren. Dies bedeutet nicht zwangsläufig, dass keine dieser Instanzen anfällig ist, da uns nicht immer Versionsinformationen zur Verfügung stehen.
Karte der exponierten Aviatrix-Controller-Instanzen
Censys Search Abfrage:
services.software: (vendor="Aviatrix" and product="Controller") and not labels: {honeypot, tarpit}
Beachten Sie, dass dieser Fingerabdruck erst kürzlich bereitgestellt wurde und es 24 Stunden dauern kann, bis sich die Ergebnisse vollständig verbreitet haben.
Censys ASM-Abfrage:
host.services.software: (vendor="Aviatrix" and product="Controller") or web_entity.instances.software: (vendor="Aviatrix" and product="Controller") and not host.labels: {honeypot, tarpit}
Risiko:
risks.name: "Vulnerable Aviatrix Controller Application [CVE-2024-50603]"
Beachten Sie, dass dieses Risiko erst vor kurzem aufgetreten ist und es 24 Stunden dauern kann, bis sich die Ergebnisse vollständig verbreitet haben.
Referenzen
