Date de la divulgation (source) : 7 janvier 2025
Date de déclaration d'exploitation active (source) : 7 janvier 2025
CVE-2024-50603 est une vulnérabilité critique affectant toutes les versions supportées d'Aviatrix Controller avant 7.1.4191 et 7.2.x avant 7.2.4996 avec un score CVSS de 10.0.
Un rapport technique publié par SecuRing énumère les composants vulnérables suivants :
- type de nuage du paramètre list_flightpath_destination_instances action
- src_cloud_type du paramètre flightpath_connection_test de l'action
Des attaquants non authentifiés peuvent envoyer des données malveillantes dans une requête POST à l'adresse suivante /v1/api en utilisant ces paramètres et exécuter un code malveillant sur le serveur sous-jacent. Un exemple de preuve de concept est disponible dans l'article technique ci-dessus.
De nombreux médias ont fait état d'une exploitation active de cette vulnérabilité dans la nature. Bien que les acteurs de la menace n'aient pas été nommés, un hôte malveillant a été observé tentant d'utiliser cet exploit dans le visualisateur GreyNoise (GreyNoise query).
| Champ d'application |
Détails |
| CVE-ID |
CVE-2024-50603 - CVSS 10.0 (critique) - attribué par Mitre |
| Description de la vulnérabilité |
En raison d'une mauvaise neutralisation des éléments spéciaux utilisés dans une commande du système d'exploitation, un attaquant non authentifié est en mesure d'exécuter du code arbitraire. Les métacaractères du shell peuvent être envoyés à /v1/api dans cloud_type pour list_flightpath_destination_instancesou src_cloud_type pour flightpath_connection_test. |
| Date de la divulgation |
7 janvier 2025 |
| Actifs touchés |
Contrôleur Aviatrix /v1/api point final :
-
- type de nuage du paramètre list_flightpath_destination _instances action
- src_cloud_type du paramètre flightpath_connection_test de l'action
|
| Versions de logiciels vulnérables |
Avant 7.1.4191 et 7.2.x avant 7.2.4996 |
| PoC disponible ? |
A article technique de SecuRing de SecuRing décrit l'exploit en détail, et le code de l'exploit est disponible dans un modèle Nuclei sur GitHub. |
| Statut d'exploitation |
De nombreux médias ont fait état d'une exploitation active dans la nature, et un hôte malveillant a été observé en train de tenter d'exploiter cette vulnérabilité dans GreyNoise. |
| Statut du patch |
Aviatrix a demandé aux utilisateurs de télécharger le correctif de sécurité officiel ou de mettre à jour le contrôleur vers la version 7.1.4191 ou 7.2.4996. La société a fourni des conseils d'atténuation supplémentaires et des instructions pour l'application du correctif dans son avis de sécurité. |
Censys Perspective
Au moment de la rédaction du présent document, Censys a observé 1,319 de contrôleurs Aviatrix exposés en ligne. Une grande partie d'entre eux (86%) sont géolocalisés aux États-Unis. Environ 85% du total des instances exposées sont hébergées sur AWS.
Bien que nous ayons pu détecter des versions exposées dans certaines de ces instances, nous n'avons détecté aucune version vulnérable à l'exploit. Cela ne signifie pas nécessairement qu'aucune de ces instances n'est vulnérable, car nous ne disposons pas toujours d'informations sur les versions.
Carte des instances exposées du contrôleur Aviatrix
Censys Requête de recherche :
services.software: (vendor="Aviatrix" and product="Controller") and not labels: {honeypot, tarpit}
Notez que cette empreinte a été récemment déployée et que les résultats peuvent prendre 24 heures pour se propager complètement.
Censys Requête ASM :
host.services.software: (vendor="Aviatrix" and product="Controller") or web_entity.instances.software: (vendor="Aviatrix" and product="Controller") and not host.labels: {honeypot, tarpit}
Risque :
risks.name: "Vulnerable Aviatrix Controller Application [CVE-2024-50603]"
Notez que ce risque a été récemment déployé et que les résultats peuvent prendre 24 heures pour se propager complètement.
Références
