Sebuah celah keamanan kritis pada platform jaringan cloud Aviatrix Controller dieksploitasi secara aktif oleh peretas untuk menyebarkan backdoor dan perangkat lunak penambang mata uang kripto.
Firma keamanan cloud, Wiz, melaporkan bahwa mereka sedang menangani berbagai insiden terkait eksploitasi kerentanan CVE-2024-50603, yang memiliki skor keparahan maksimum CVSS 10.0.
Kerentanan ini memungkinkan eksekusi kode jarak jauh tanpa autentikasi yang dapat dimanfaatkan untuk mengendalikan sistem secara tidak sah.
Dalam praktiknya, keberhasilan eksploitasi kerentanan ini memungkinkan penyerang untuk menyuntikkan perintah sistem operasi berbahaya.
Hal ini disebabkan oleh kurangnya validasi yang memadai pada beberapa endpoint API yang menerima input dari pengguna.
Pihak Aviatrix telah merilis pembaruan keamanan yang memperbaiki masalah ini pada versi 7.1.4191 dan 7.2.4996.
Penemuan dan Bukti Konsep (PoC)
Kerentanan ini pertama kali ditemukan dan dilaporkan oleh Jakub Korepta, seorang peneliti keamanan dari perusahaan keamanan siber Polandia, Securing.
Setelah ditemukan, eksploitasi bukti konsep (Proof-of-Concept/PoC) telah dipublikasikan secara terbuka, meningkatkan risiko penyalahgunaan oleh peretas.
Risiko Keamanan pada Lingkungan Cloud
Data yang dikumpulkan oleh Wiz mengungkapkan bahwa sekitar 3% lingkungan perusahaan berbasis cloud menggunakan Aviatrix Controller.
Dari jumlah tersebut, 65% di antaranya memiliki jalur pergerakan lateral yang dapat mengarah pada peningkatan hak akses administratif ke kontrol utama cloud.
Kondisi ini meningkatkan potensi eskalasi hak akses di lingkungan cloud secara signifikan.
Menurut peneliti keamanan dari Wiz, yaitu Gal Nagli, Merav Bar, Gili Tikochinski, dan Shaked Tanchuma, saat Aviatrix Controller digunakan dalam lingkungan AWS, sistem ini secara default memungkinkan eskalasi hak akses.
Akibatnya, eksploitasi kerentanan ini menjadi risiko dengan dampak yang sangat tinggi.
Metode Eksploitasi dan Dampaknya
Serangan dunia nyata yang mengeksploitasi CVE-2024-50603 dilaporkan melibatkan penyalahgunaan akses awal untuk menambang mata uang kripto menggunakan perangkat lunak XMRig.
Selain itu, peretas juga menggunakan framework Sliver Command-and-Control (C2) yang diduga dimanfaatkan untuk mempertahankan akses jangka panjang dan melakukan eksploitasi lanjutan.
Meskipun begitu, bukti eksploitasi lateral dalam lingkungan cloud belum terdeteksi secara langsung.
Namun para peneliti Wiz meyakini, para pelaku ancaman mungkin memanfaatkan kerentanan ini untuk memetakan izin cloud yang dimiliki host.
Kemudian melanjutkan dengan upaya pencurian data dari lingkungan cloud korban.
Rekomendasi Keamanan
Menghadapi ancaman eksploitasi yang sedang berlangsung, para pengguna Aviatrix Controller sangat disarankan untuk:
- Segera memperbarui perangkat lunak ke versi terbaru yang telah diperbaiki (7.1.4191 dan 7.2.4996).
- Memastikan Aviatrix Controller tidak dapat diakses secara publik.
- Melakukan audit keamanan secara berkala untuk mendeteksi potensi penyalahgunaan sistem.
Langkah-langkah mitigasi ini penting untuk mencegah eskalasi serangan yang lebih luas dan menjaga keamanan data perusahaan dalam lingkungan cloud.
