威胁行动者们正在利用Aviatrix Controller 实例中的一个严重的远程命令执行漏洞 (CVE-2024-50603)，安装后门和密币挖矿机。

Aviatrix Controller 是 Aviatrix 云网络平台的一部分，用于增强多云设备中的网络、安全和运营可见性，客户包括企业、DevOps 团队、网络工程师、云架构师和管理服务提供商。

该漏洞由 Jakub Korepta 在2024年10月7日发现，是因为在某些API操作中对输入清理函数使用不当造成的，可导致攻击者将恶意命令注入系统级别的操作中。这就导致威胁行动者使用特殊构造的API请求，在无需认证的情况下实现远程命令执行。

该漏洞影响 Aviatrix Controller 7.x至7.2.4820的所有版本。建议用户升级至7.1.4191或7.2.4996，修复该漏洞。

漏洞已遭利用

Wiz 公司报道称GitHub 已出现 PoC 利用，推动了该漏洞的在野利用。

黑客正在利用该漏洞植入 Sliver 后门并通过XMRig（密币劫持）执行越权门罗币挖掘。研究人员表示，虽然只有比例较少的云企业环境部署了 Aviatrix Controller，但多数具有横向网络移动和提权风险。研究人员表示，“从数据来看，约3%的云企业环境部署了 Aviatrix Controller。然而，数据显示，在65%的已部署环境中，托管着 Aviatrix Controller的虚拟机具有向管理员云控制板权限的横向移动路径。”

Wiz 提到，目前虽然没有证据表明执行横向移动的证据，但他们认为威胁行动者在利用 CVE-2024-50603枚举主机的云权限并探索数据提取的机会。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~