Bois des cars, lot 63 Dely Brahim -Alger 0657 02 63 77 contact@fortiwell.dz

Blog

Accueil

Des attaquants exploitent une faille critique dans Aviatrix pour cibler les environnements cloud

Une vulnérabilité critique, identifiée sous le code CVE-2024-50603 et notée 10/10 sur l’échelle CVSS, est activement exploitée par des acteurs malveillants pour prendre le contrôle de systèmes via la plateforme de gestion cloud Aviatrix Controller. Cette faille permet une exécution de code à distance sans authentification, ouvrant la porte à des attaques dévastatrices, notamment le déploiement de logiciels de cryptominage et de backdoors.

Une vulnérabilité de gravité maximale

CVE-2024-50603 est une faille critique qui affecte Aviatrix Controller, une plateforme largement utilisée pour la gestion centralisée des réseaux cloud. Elle permet à un attaquant non authentifié d’exécuter des commandes arbitraires sur un système vulnérable, prenant ainsi le contrôle total de celui-ci. Les chercheurs de Wiz Security ont souligné que cette vulnérabilité présente un risque particulièrement élevé dans les environnements AWS (Amazon Web Services), où Aviatrix Controller permet par défaut une escalade de privilèges.

Selon Wiz, environ 3 % des environnements cloud d’entreprise utilisent Aviatrix Controller, et dans 65 % de ces cas, la machine virtuelle hébergeant la plateforme offre un chemin de mouvement latéral vers des permissions administratives critiques. Des centaines de grandes entreprises, dont Heineken, Raytheon et IHG Hotels and Resorts, utilisent cette technologie pour gérer leurs infrastructures cloud multi-fournisseurs (AWS, Azure, Google Cloud Platform, etc.).

Origine de la vulnérabilité

La faille résulte d’un manque de validation des données envoyées par les utilisateurs via l’API d’Aviatrix Controller. Elle met en lumière les risques croissants liés à l’utilisation massive des API dans les environnements cloud, notamment les erreurs de configuration, le manque de visibilité et les tests de sécurité insuffisants. Toutes les versions d’Aviatrix Controller antérieures à 7.1.4191 et 7.2.4996 sont concernées. Aviatrix a publié un correctif et recommande aux organisations de mettre à jour leurs systèmes dès que possible.

Cependant, le correctif n’est pas toujours persistant lors des mises à niveau du contrôleur, nécessitant une réapplication manuelle dans certains cas, notamment pour les versions non supportées.

Exploitation active par des acteurs malveillants

Jakub Korepta, chercheur en sécurité chez SecuRing, a découvert et signalé la faille à Aviatrix, qui a publié un correctif d’urgence en novembre 2024. Cependant, après la divulgation publique de la vulnérabilité le 7 janvier, un exploit proof-of-concept a été publié sur GitHub dès le 8 janvier, déclenchant une vague d’activités malveillantes.

Selon Alon Schindel, vice-président de la recherche sur les menaces chez Wiz, la plupart des instances vulnérables ont été ciblées par des attaquants à la recherche de systèmes non patchés. Bien que l’activité d’exploitation soit principalement opportuniste, certains attaquants ont démontré un niveau de sophistication élevé, utilisant des outils automatisés pour balayer Internet à la recherche de systèmes vulnérables.

Les attaquants exploitent la faille pour déployer des logiciels malveillants tels que XMRig (un cryptominer) et Sliver (une backdoor). Ces outils permettent aux attaquants de voler des données sensibles, d’accéder à d’autres parties de l’infrastructure cloud ou sur site, et de perturber les opérations normales.

Un rappel des risques liés aux API

Ray Kelly, expert chez Black Duck, souligne que cette vulnérabilité rappelle les risques croissants associés aux points de terminaison API. Elle montre comment un serveur peut être compromis via un simple appel Web à une API, mettant en évidence la nécessité de tests approfondis. Cependant, ces tests peuvent être complexes en raison de la taille, de la complexité et de l’interdépendance des API, ainsi que de leur gestion souvent externalisée.

Pour atténuer ces risques, Kelly recommande d’établir des règles de gouvernance claires pour les logiciels tiers, notamment en mettant en œuvre des processus de vérification rigoureux, en appliquant des mesures de sécurité cohérentes et en surveillant en continu les performances et les vulnérabilités des logiciels.

Recommandations pour les organisations

Pour les organisations utilisant Aviatrix Controller, la priorité est d’appliquer le correctif dès que possible. Pour celles qui ne peuvent pas le faire immédiatement, Wiz recommande de restreindre l’accès réseau au contrôleur via une liste d’adresses IP autorisées, de surveiller les journaux et les comportements système pour détecter toute activité suspecte, et de réduire les chemins de mouvement latéral inutiles entre les identités cloud.

Jessica MacGregor, porte-parole d’Aviatrix, précise que l’entreprise a publié un correctif d’urgence en novembre 2024 et a contacté directement les clients concernés pour s’assurer que le correctif était appliqué. Bien qu’une grande partie des clients ait appliqué le correctif, certains systèmes restent vulnérables et sont actuellement ciblés par les attaquants.

Conclusion

La vulnérabilité CVE-2024-50603 dans Aviatrix Controller illustre les défis de sécurité auxquels sont confrontées les organisations utilisant des infrastructures cloud complexes. Alors que les attaquants exploitent rapidement les failles critiques, il est essentiel pour les entreprises de maintenir leurs systèmes à jour, de surveiller activement leurs environnements et de renforcer leurs pratiques de sécurité pour limiter les risques. La collaboration entre les fournisseurs de solutions cloud, les chercheurs en sécurité et les organisations est cruciale pour protéger les infrastructures critiques contre les menaces en constante évolution.

Services

Infrastructure IT Cybersécurité Développement d’applications Support IT Formations