يستغل المتسللون ثغرة أمنية في وحدة تحكم Aviatrix لنشر أبواب خلفية وعمال تعدين العملات المشفرة
تم الكشف مؤخرًا عن ثغرة أمنية خطيرة تؤثر على وحدة تحكم أفياتريكس تعرضت منصة الشبكات السحابية للاستغلال النشط في البرية لنشر الأبواب الخلفية وعمال المناجم للعملات المشفرة.
قالت شركة الأمن السحابي Wiz إنها تستجيب حاليًا لـ “الحوادث المتعددة” التي تنطوي على تسليح CVE-2024-50603 (درجة CVSS: 10.0)، وهو خطأ بالغ الخطورة يمكن أن يؤدي إلى تنفيذ تعليمات برمجية عن بعد غير مصادق عليها.
وبعبارة أخرى، فإن الاستغلال الناجح للخلل يمكن أن يسمح للمهاجم بإدخال أوامر نظام تشغيل ضارة نظرًا لحقيقة أن بعض نقاط نهاية واجهة برمجة التطبيقات (API) لا تقوم بتطهير المدخلات المقدمة من المستخدم بشكل مناسب. تمت معالجة الثغرة الأمنية في الإصدارين 7.1.4191 و7.2.4996.
جاكوب كوريبتا، الباحث الأمني في شركة الأمن السيبراني البولندية Securing، له الفضل في اكتشاف الخلل والإبلاغ عنه. وقد تم منذ ذلك الحين استغلال إثبات المفهوم (PoC). متاحة للجمهور.
تُظهر البيانات التي جمعتها شركة الأمن السيبراني أن حوالي 3% من بيئات المؤسسات السحابية تم نشر Aviatrix Controller فيها، منها 65% منها تُظهر مسار حركة جانبيًا لأذونات مستوى التحكم السحابي الإداري. وهذا بدوره يسمح بتصعيد الامتيازات في البيئة السحابية.
“عند نشرها في بيئات سحابية AWS، تسمح Aviatrix Controller بتصعيد الامتيازات بشكل افتراضي، مما يجعل استغلال هذه الثغرة الأمنية يمثل خطرًا عالي التأثير،” باحثو Wiz، جال ناجلي، وميراف بار، وجيلي تيكوشينسكي، وشكيد تانشوما قال.
تعمل الهجمات الواقعية التي تستغل CVE-2024-50603 على الاستفادة من الوصول الأولي إلى المثيلات المستهدفة لتعدين العملة المشفرة باستخدام XMRig ونشر إطار عمل Sliver للتحكم والتحكم (C2)، والذي من المحتمل أن يؤدي إلى استمرارية الاستغلال والمتابعة.
“على الرغم من أننا لم نرى بعد دليلاً مباشرًا على الحركة الجانبية السحابية، إلا أننا نعتقد أنه من المحتمل أن الجهات الفاعلة في مجال التهديد تستخدم الثغرة الأمنية لتعداد أذونات السحابة للمضيف ثم التركيز على سرقة البيانات من البيئات السحابية للضحايا،” باحثو Wiz قال.
في ضوء الاستغلال النشط، يُنصح المستخدمون بتطبيق التصحيحات في أقرب وقت ممكن ومنع الوصول العام إلى Aviatrix Controller.
إرسال التعليق