Kelemahan keamanan kritis yang baru-baru ini diungkapkan yang berdampak pada platform jaringan cloud Aviatrix Controller telah dieksploitasi secara aktif untuk menyebarkan pintu belakang dan penambang mata uang kripto.
Perusahaan keamanan cloud Wiz mengatakan saat ini pihaknya sedang merespons “berbagai insiden” yang melibatkan persenjataan CVE-2024-50603 (skor CVSS: 10.0), bug dengan tingkat keparahan maksimum yang dapat mengakibatkan eksekusi kode jarak jauh yang tidak diautentikasi.
Dengan kata lain, eksploitasi kelemahan yang berhasil dapat memungkinkan penyerang memasukkan perintah sistem operasi berbahaya karena fakta bahwa titik akhir API tertentu tidak cukup membersihkan masukan yang diberikan pengguna. Kerentanan telah diatasi di versi 7.1.4191 dan 7.2.4996.
Jakub Korepta, peneliti keamanan di perusahaan keamanan siber Polandia, Securing, berjasa menemukan dan melaporkan kekurangan tersebut. Eksploitasi bukti konsep (PoC) telah tersedia untuk umum.
Data yang dikumpulkan oleh perusahaan keamanan siber tersebut menunjukkan bahwa sekitar 3% lingkungan perusahaan cloud telah menerapkan Aviatrix Controller, dan 65% di antaranya menunjukkan jalur pergerakan lateral menuju izin bidang kontrol cloud administratif. Hal ini, pada gilirannya, memungkinkan peningkatan hak istimewa di lingkungan cloud.
“Saat diterapkan di lingkungan cloud AWS, Aviatrix Controller mengizinkan peningkatan hak istimewa secara default, menjadikan eksploitasi kerentanan ini memiliki risiko berdampak tinggi,” kata peneliti Wiz Gal Nagli, Merav Bar, Gili Tikochinski, dan Shaked Tanchuma.
Serangan dunia nyata yang mengeksploitasi CVE-2024-50603 memanfaatkan akses awal ke instans target untuk menambang mata uang kripto menggunakan XMRig dan menerapkan kerangka kerja perintah dan kontrol (C2) Sliver, yang kemungkinan besar akan digunakan untuk persistensi dan eksploitasi lanjutan.
“Meskipun kami belum melihat bukti langsung pergerakan lateral cloud, kami yakin kemungkinan besar pelaku ancaman memanfaatkan kerentanan untuk menghitung izin cloud dari host dan kemudian beralih ke mengambil data dari lingkungan cloud korban,” peneliti Wiz dikatakan.
Mengingat eksploitasi aktif, pengguna disarankan untuk menerapkan tambalan sesegera mungkin dan mencegah akses publik ke Pengontrol Aviatrix.
