【安全资讯】黑客利用Aviatrix Controller关键RCE漏洞进行攻击

概要：

近期，黑客利用Aviatrix Controller中的一个关键远程命令执行漏洞（CVE-2024-50603）进行攻击，导致后门和加密货币矿工的安装。该漏洞影响所有版本的Aviatrix Controller，给企业和云服务提供商带来了严重的安全隐患。

主要内容：

CVE-2024-50603漏洞由Jakub Korepta于2024年10月17日发现，源于某些API操作中输入清理功能的不当使用。这使得攻击者能够通过特制的API请求在没有身份验证的情况下实现远程命令执行。Wiz Research报告指出，尽管只有约3%的云企业环境部署了Aviatrix Controller，但在这些环境中，65%的虚拟机存在横向移动的风险，可能导致特权升级。

随着2025年1月8日GitHub上发布的概念验证（PoC）漏洞利用代码，黑客开始积极利用这一漏洞，植入Sliver后门并进行未经授权的Monero加密货币挖矿。虽然目前没有证据表明攻击者进行了横向移动，但他们可能利用该漏洞枚举主机的云权限，并探索数据外泄的机会。

Aviatrix建议受影响的用户升级到7.1.4191或7.2.4996版本，以修复此漏洞。此外，用户还需确保控制器不向互联网暴露443端口，并遵循推荐的IP访问指南，以最小化攻击面。