Эксперты предупредили, что хакеры уже используют критическую уязвимость удаленного выполнения команд (CVE-2024-50603) в Aviatrix Controller для установки бэкдоров и криптовалютных майнеров.
Aviatrix Controller является частью платформы Aviatrix Cloud Networking. Это решение часто используют на предприятиях, в командах DevOps, сетевые инженеры, архитекторы облачных сред и поставщики управляемых услуг.
Уязвимость была обнаружена независимым исследователем Якубом Корептой (Jakub Korepta) еще в октябре 2024 года. Проблема CVE-2024-50603 получила 10 баллов из 10 возможных по шкале CVSS и связана с некорректным использованием функций очистки ввода для некоторых действий API, что позволяет внедрять вредоносные команды на уровне системы. В итоге злоумышленники получили возможность использовать специально подготовленные API-запросы для удаленного выполнения команд без аутентификации.
Ошибка затрагивает все версии Aviatrix Controller с 7.x по 7.2.4820, и пользователям рекомендуется как можно скорее обновиться до версии 7.1.4191 или 7.2.4996, где проблема CVE-2024-50603 уже устранена.
По данным специалистов компании Wiz, PoC-эксплоит для этой уязвимости, опубликованный на GitHub 8 января 2025 года, привел к росту попыток реальных атак на CVE-2024-50603. Хакеры уже используют уязвимость для развертывания Sliver-бэкдоров и несанкционированного майнинга криптовалюты Monero с помощью XMRig.
Исследователи сообщают, что Aviatrix Controller применяется в небольшом проценте облачных корпоративных сред (около 3%), но для большинства из них существуют риски бокового перемещения хакеров по сети, повышения привилегий и хищения данных. При этом исследователи отмечают, что пока таких инцидентов и попыток дальнейшего развития атак они не наблюдали.
