Fecha de divulgación (fuente): 7 de enero de 2025
Fecha en que se comunicó que había sido explotada activamente (fuente): 7 de enero de 2025
CVE-2024-50603 es una vulnerabilidad crítica que afecta a todas las versiones soportadas de Aviatrix Controller anteriores a 7.1.4191 y 7.2.x anteriores a 7.2.4996 con una puntuación CVSS de 10.0.
Un informe técnico publicado por SecuRing enumera los siguientes componentes vulnerables:
- tipo_nube del parámetro list_flightpath_destination_instances acción
- tipo_nube_sur del parámetro flightpath_connection_test acción
Los atacantes no autenticados pueden enviar entradas maliciosas en una solicitud POST a /v1/api utilizando estos parámetros y ejecutar código malicioso en el servidor subyacente. Un ejemplo de prueba de concepto está disponible en el informe técnico anterior.
Varios medios de comunicación han informado de la explotación activa de esta vulnerabilidad. Si bien no se mencionaron los actores de amenazas específicos, se observó un host malicioso que intentaba utilizar este exploit en el visualizador GreyNoise (GreyNoise consulta).
| Campo |
Detalles |
| CVE-ID |
CVE-2024-50603 - CVSS 10.0 (crítico) - asignado por Mitre |
| Descripción de la vulnerabilidad |
Debido a la incorrecta neutralización de elementos especiales utilizados en un comando OS, un atacante no autenticado es capaz de ejecutar código arbitrario. Se pueden enviar metacaracteres de shell a /v1/api en tipo_nube para list_flightpath_destination_instanceso src_cloud_type para flightpath_connection_test. |
| Fecha de divulgación |
7 de enero de 2025 |
| Activos afectados |
Controlador Aviatrix /v1/api punto final:
-
- tipo_nube del parámetro list_flightpath_destination _instances acción
- tipo_nube_sur del parámetro flightpath_connection_test acción
|
| Versiones de software vulnerables |
Antes de 7.1.4191 y 7.2.x antes de 7.2.4996 |
| ¿PoC disponible? |
A informe técnico de SecuRing describe el exploit en detalle, y el código del exploit está disponible en una plantilla Nuclei en GitHub. |
| Estado de explotación |
Múltiples medios de comunicación han informado de la explotación activa en la naturaleza, y un host malicioso se observó tratando de explotar esta vulnerabilidad en GreyNoise. |
| Estado del parche |
Aviatrix ha instado a los usuarios a descargar el parche de seguridad oficial, o actualizar el controlador a 7.1.4191 o 7.2.4996. Han proporcionado orientación adicional de mitigación e instrucciones para aplicar el parche en su aviso de seguridad. |
Censys Perspectiva
En el momento de redactar este informe, Censys observó 1,319 de controladores Aviatrix expuestos en línea. Una gran proporción de ellos (86%) están geolocalizados en Estados Unidos. Aproximadamente 85% del total de instancias expuestas están alojadas en AWS.
Aunque pudimos detectar versiones expuestas en algunas de estas instancias, no detectamos ninguna versión vulnerable al exploit. Esto no significa necesariamente que ninguna de estas instancias sea vulnerable, ya que no siempre disponemos de información sobre la versión.
Mapa de instancias de controlador Aviatrix expuestas
Censys Consulta de búsqueda:
services.software: (vendor="Aviatrix" and product="Controller") and not labels: {honeypot, tarpit}
Tenga en cuenta que esta huella digital se ha desplegado recientemente y que los resultados pueden tardar 24 horas en propagarse por completo.
Censys Consulta ASM:
host.services.software: (vendor="Aviatrix" and product="Controller") or web_entity.instances.software: (vendor="Aviatrix" and product="Controller") and not host.labels: {honeypot, tarpit}
Riesgo:
risks.name: "Vulnerable Aviatrix Controller Application [CVE-2024-50603]"
Tenga en cuenta que este riesgo se ha desplegado recientemente y que los resultados pueden tardar 24 horas en propagarse por completo.
Referencias
