Recentemente, foi identificada uma vulnerabilidade crítica no Aviatrix Controller, uma plataforma amplamente utilizada para gerenciamento de redes em nuvem, que está sendo ativamente explorada por criminosos cibernéticos para implantar backdoors e mineradores de criptomoedas em ambientes corporativos. A falha, identificada como CVE-2024-50603, recebeu a pontuação máxima de 10.0 no sistema de avaliação de severidade CVSS (Common Vulnerability Scoring System), tornando-a uma ameaça significativa para a segurança de infraestruturas de nuvem.
Vulnerabilidade crítica no Aviatrix Controller expõe sistemas a ataques de backdoor e criptomineradores
A falha no Aviatrix Controller afeta versões anteriores à 7.1.4191 e 7.2.4996, permitindo que invasores não autenticados executem código arbitrário na plataforma devido à neutralização inadequada de comandos na API. Esse tipo de falha de execução de código remoto (RCE) é especialmente perigoso, pois permite que atacantes comprometam sistemas sem a necessidade de autenticação prévia, o que amplia consideravelmente o vetor de ataque. A falha foi corrigida nas versões atualizadas 7.1.4191 e 7.2.4996, e a recomendação é que os administradores de sistemas apliquem os patches de segurança o mais rápido possível para proteger seus ambientes.
Impacto da exploração: backdoors e criptomineradores
A equipe de resposta a incidentes da Wiz, especializada em monitorar e mitigar ataques cibernéticos, informou que a falha está sendo ativamente explorada por cibercriminosos. O principal objetivo dos atacantes é implantar backdoors, como o Sliver, e mineradores de criptomoedas, utilizando a ferramenta XMRig. Esses mineradores são usados para explorar recursos computacionais das vítimas, minerando moedas digitais, o que pode gerar grandes prejuízos financeiros e afetar o desempenho dos sistemas comprometidos.
Além disso, a Wiz observou que os invasores estão utilizando a falha para escalar privilégios dentro da infraestrutura da AWS (Amazon Web Services). A escalada de privilégios é uma técnica onde o invasor consegue obter permissões mais altas, permitindo o acesso a áreas mais sensíveis e críticas dos sistemas afetados. Esse tipo de ataque aumenta a gravidade da vulnerabilidade, pois pode dar aos invasores controle total sobre o ambiente de nuvem da vítima.
A escalada de privilégios e o risco de exfiltração de dados
Com base nos dados coletados pela Wiz, a plataforma Aviatrix Controller está presente em aproximadamente 3% dos ambientes corporativos de nuvem. No entanto, uma grande parte dessas implantações, cerca de 65%, apresenta um risco significativo, pois as máquinas virtuais que hospedam o Aviatrix Controller podem fornecer um caminho direto para permissões administrativas no plano de controle da nuvem. Isso significa que, ao explorar a vulnerabilidade, os atacantes podem obter acesso a dados sensíveis e informações confidenciais, o que aumenta as chances de exfiltração de dados e outros danos irreparáveis à segurança da informação.
Embora ainda não tenha sido confirmada movimentação lateral significativa nos ambientes afetados, a Wiz acredita que os atacantes podem estar usando a falha para enumerar permissões de nuvem e, eventualmente, acessar dados privados e confidenciais de forma furtiva. Esse processo pode incluir o roubo de informações financeiras, dados de clientes, segredos comerciais e muito mais.
Recomendação para as empresas
Dada a gravidade dessa vulnerabilidade, a Aviatrix emitiu um aviso alertando que criminosos cibernéticos estão ativamente explorando essa falha em busca de lucro e acesso irrestrito aos sistemas de suas vítimas. A empresa recomendou fortemente que todas as organizações que utilizam o Aviatrix Controller apliquem os patches de segurança disponíveis e monitorem seus sistemas em busca de atividades suspeitas.
É importante que as empresas também reforcem suas práticas de segurança em nuvem, incluindo a aplicação de políticas rigorosas de autenticação, monitoramento de logs e verificação constante de vulnerabilidades. Além disso, a Wiz aconselha que as empresas afetadas por essa falha tomem medidas adicionais para proteger suas redes, como a implementação de soluções de segurança adicionais e a realização de auditorias de segurança.
Como os ataques podem afetar as empresas?
A exploração dessa vulnerabilidade pode ter impactos devastadores nas operações de uma empresa. A instalação de mineradores de criptomoedas pode sobrecarregar os servidores e reduzir a capacidade computacional, prejudicando o desempenho das aplicações e serviços críticos. Além disso, a instalação de backdoors oferece aos atacantes acesso persistente aos sistemas comprometidos, mesmo após a correção da falha, o que pode levar a novos ataques ou ao roubo contínuo de dados. A exfiltração de dados sensíveis também pode resultar em danos à reputação da empresa, multas regulatórias e perda de confiança dos clientes.