Vulnerabilidad crítica en Aviatrix Controller: ataques activos y recomendaciones de seguridad

Recientemente se ha descubierto una vulnerabilidad crítica en Aviatrix Controller, una plataforma de red en la nube ampliamente utilizada. Esta falla, identificada como CVE-2024-50603, con una puntuación de severidad CVSS de 10.0, ha sido explotada activamente por ciberdelincuentes para infiltrarse en sistemas, desplegar puertas traseras y mineros de criptomonedas.

El fallo permite la ejecución remota de código no autenticado, lo que significa que un atacante puede inyectar comandos maliciosos directamente en el sistema operativo. Esto ocurre debido a que algunos puntos finales de la API no validan adecuadamente la entrada proporcionada por los usuarios.

Aviatrix ha corregido esta vulnerabilidad en las versiones 7.1.4191 y 7.2.4996, por lo que se recomienda actualizar inmediatamente.

Impacto y amenazas actuales

La empresa de seguridad en la nube Wiz, que ha estado investigando esta amenaza, ha informado que los atacantes reales están utilizando esta vulnerabilidad para

• Minar criptomonedas mediante la herramienta XMRig.
• Implementar el marco de comando y control (C2) Sliver, lo que podría facilitar la persistencia en los sistemas comprometidos y la explotación futura.

Los análisis de Wiz revelan que aproximadamente un 3% de los entornos empresariales en la nube utilizaron Aviatrix Controller, y de estos, el 65% tiene configuraciones que permiten un posible movimiento lateral hacia permisos administrativos. Esto incrementa el riesgo de escalada de privilegios en el entorno de la nube. Cuando Aviatrix Controller se implementa en entornos de AWS, por defecto puede facilitar una escalada de privilegios, lo que convierte esta vulnerabilidad en una amenaza de alto impacto, según los investigadores.

Recomendaciones urgentes

1. Actualizar inmediatamente Aviatrix Controller a las versiones parcheadas (7.1.4191 o 7.2.4996).
2. Limitar o evitar acceso público al sistema.
3. Monitorizar los sistemas en busca de actividades sospechosas relacionadas con MXRing o Sliver.
4. Revisar los permisos y configuraciones de seguridad en los entornos de nube afectados para evitar movimientos laterales o escaladas de privilegios.

Contexto del descubrimiento

El fallo fue identificado por Jakub Korepta, investigador de la empresa polaca de ciberseguridad Securing, quien también publicó una prueba de concepto (PoC) del exploit. Esto ha incrementado la urgencia de aplicar las medidas correctivas, ya que la PoC facilita a los atacantes replicar los métodos de explotación.

Riesgos futuros

Aunque hasta ahora no se han detectado casos confirmados de movimiento lateral dentro de la nube, los investigadores advierten que los atacantes podrían estar usando esta vulnerabilidad para

• Enumerar permisos en la nube.
• Exfiltrar datos de las víctimas.

La explotación activa de CVE-2024-50603 subraya la necesidad de una respuesta inmediata por parte de los usuarios para minimizar el impacto y proteger sus infraestructuras en la nube.

Más información:

• Hackers exploit Aviatrix Controller vulnerability to deploy backdoors and crypto miners https://thehackernews.com/2025/01/hackers-exploit-aviatrix-controller.html
• Hackers exploit critical Aviatrix Controller RCE flaw in attacks https://www.bleepingcomputer.com/news/security/hackers-exploit-critical-aviatrix-controller-rce-flaw-in-attacks/
• Critical 10.0 Aviatrix Controller flaw exploited in the wild https://www.scworld.com/news/critical-100-aviatrix-controller-flaw-exploited-in-the-wild
• Aviatrix Controller RCE CVE-2024-50603 exploited in the wild: Cryptojacking and backdoors deployed https://securityonline.info/aviatrix-controller-rce-cve-2024-50603-exploited-in-the-wild-cryptojacking-and-backdoors-deployed/

La entrada Vulnerabilidad crítica en Aviatrix Controller: ataques activos y recomendaciones de seguridad se publicó primero en Una Al Día.