2025年首个满分漏洞，PoC已公布，可部署后门

云攻击者正在大肆利用名为Max - Critical Aviatrix RCE漏洞（编号CVE - 2024 - 50603） ，年首此漏洞在CVSS评分中高达10分（满分10分），个满能够在受影响系统上执行未经身份验证的分漏远程代码，网络犯罪分子借此漏洞植入恶意软件 。布可部署

最坏的后门情况下 ，该漏洞会让未经身份验证的年首远程攻击者在受影响系统上运行任意命令，进而完全掌控该系统。个满目前，分漏攻击者利用此漏洞在易受攻击的布可部署目标上部署XMRig加密货币挖矿恶意软件和Sliver后门。

CVE - 2024 - 50603 ：高风险漏洞

研究人员于1月10日在博客中警示
，后门该漏洞在亚马逊Web服务（AWS）云环境中尤为危险，年首因为在此环境中，个满Aviatrix Controller默认允许权限提升。亿华云分漏

“依据我们的布可部署数据，约3%的后门云企业环境部署了Aviatrix Controller。在这些环境里，托管Aviatrix Controller的虚拟机中有65%存在通向管理云控制平面权限的横向移动路径。”

数百家大型企业运用Aviatrix的技术管理AWS
、Azure、谷歌云平台（GCP）以及其他多云环境中的云网络。常见应用场景包括自动化部署与管理云网络基础设施，以及管理安全 、加密和连接策略等  ，源码下载其客户包括不少大型集团企业 。

CVE - 2024 - 50603是由于Aviatrix Controller未能正确检查或验证用户
，通过其应用程序编程接口（API）发送的数据而产生。这是最新暴露出来的一个与各类组织（不论规模大小）日益增多的API使用相关的安全风险漏洞  。其他常见的API相关风险还包括因配置错误、缺乏可见性以及安全测试不足而产生的风险。

该漏洞存在于所有版本低于7.2.4996或7.1.4191的受支持Aviatrix Controller版本中。香港云服务器Aviatrix已经发布了针对该漏洞的补丁
，并且建议相关组织进行补丁安装或者升级到Controller的7.1.4191或7.2.4996版本 。

Aviatrix公司指出 ：“在某些情形下，补丁在控制器升级过程中并非完全持久有效 ，即便控制器状态显示为‘已打补丁’，也必须重新应用，例如在不受支持的控制器版本上应用补丁这种情况。”

黑客发动机会性云攻击

安全研究员Jakub Korepta（来自SecuRing）发现了这一漏洞并向Aviatrix报告
，于1月7日公开披露了该漏洞的详细信息 。仅一天之后 ，一个针对该漏洞的概念验证利用程序就在GitHub上可获取 ，高防服务器随即引发了近乎立即利用的网络攻击与入侵活动 。

Wiz人工智能与威胁研究副总裁Alon Schindel表示：“自概念验证发布以来，Wiz观察到大多数易受攻击的企业都未曾更新修复补丁。目前我们也看到 ，客户正在对自己的系统进行修补，从而抵御攻击者的攻击。”

Schindel将到目前为止的利用活动描述为主要是一种机会性的活动，是扫描器和自动化工具集在互联网上搜寻未打补丁Aviatrix企业的云计算结果。

他表示：“尽管在某些情况下，所使用的有效载荷和基础设施表明在一些案例中有更高的复杂性，但大多数尝试看起来像是广泛的扫描
，而非针对特定组织的高度定制化或者有针对性的攻击。”

现有的数据表明，多个威胁行为者（包括有组织的犯罪团伙）正在以多种方式利用该漏洞。“依据环境的源码库设置，攻击者可能会窃取敏感数据、访问云或本地基础设施的其他部分或者扰乱正常运营
。”

API相关网络风险的警示

Ray Kelly称，Aviatrix Controller漏洞再次让人们意识到API端点日益增长的风险，以及应对这些风险所面临的挑战。该漏洞表明仅仅一个简单的网络调用就可能攻破服务器，凸显了对API进行彻底测试的必要性 。鉴于API的规模、复杂性以及相互依赖性，并且许多API是由外部软件和服务提供商开发和管理的，这样的测试可能极具挑战性。

Kelly进一步表示
：“缓解这些风险的一个有效方法是建立针对第三方软件明确的‘治理规则’。这包括实施针对第三方供应商的全面审查流程、执行一致的安全措施以及持续监控软件性能和漏洞 。”

Schindel表示，受新Aviatrix漏洞影响的组织最佳应对策略是尽快应用该漏洞的补丁 。无法立即打补丁的组织应该立即限制对Aviatrix Controller的网络访问 ，仅允许受信任的来源进行访问
。他们还应当密切监控日志和系统行为中的可疑活动或者已知利用指标，针对与Aviatrix相关的异常行为设置警报，并减少云身份之间不必要的横向移动路径。

Aviatrix发言人Jessica MacGregor表示 ，鉴于该漏洞潜在的严重性，公司在2024年11月就发布了针对该漏洞的紧急补丁 。该安全补丁适用于所有受支持的版本，并且对已经结束两年支持的Aviatrix Controller版本同样适用。该公司还通过多个有针对性的活动私下联系客户，以确保受影响的组织应用了补丁，MacGregor称 。

虽然相当一部分受影响的客户已经应用了补丁并采取了推荐的加固措施 ，但仍有一些组织尚未进行操作。MacGregor指出
，正是这些客户正在遭受当前的攻击。“虽然我们强烈建议客户保持软件的最新状态，但在Controller版本6.7 +上应用了安全补丁的客户 ，即使没有升级到最新版本也能够得到保护
。”

参考来源：https://www.darkreading.com/cloud-security/cloud-attackers-exploit-max-critical-aviatrix-rce-flaw