1. Mô tả

   Lỗ hổng nghiêm trọng CVE-2024-50603 trong Aviatrix Controller cho phép kẻ tấn công chưa xác thực thực thi mã tùy ý trên hệ thống thông qua việc lợi dụng lỗ hổng xử lý các yếu tố đặc biệt trong lệnh hệ điều hành (command injection). Với điểm CVSS 10.0, đây là lỗ hổng cực kỳ nguy hiểm, đe dọa trực tiếp đến các tổ chức sử dụng Aviatrix để quản lý mạng đám mây.

    

2. Nguyên Nhân:

   Lỗ hổng phát sinh từ việc xử lý không đúng cách các tham số đầu vào trong API của Aviatrix Controller. Một số tham số không được kiểm tra hoặc mã hóa đúng cách, chẳng hạn như cloud_type trong hành động list_flightpath_destination_instances. Điều này tạo điều kiện cho kẻ tấn công chèn các lệnh độc hại vào truy vấn HTTP để thực thi mã trên hệ thống.

   Ví dụ mã nguồn chứa lỗ hổng:
   Trong API, tham số đầu vào được truyền trực tiếp đến lệnh hệ điều hành mà không sử dụng phương thức mã hóa như escapeshellarg.

   Tham số cloud_type không được mã hóa đúng cách bằng escapeshellarg, cho phép chèn các lệnh độc hại.

    

3. Tác Động

   - Thực thi mã từ xa (RCE): Kẻ tấn công có thể thực thi các lệnh hệ thống với quyền cao nhất.

   - Xâm phạm dữ liệu: Các file nhạy cảm như có thể bị đánh cắp.

   - Chiếm quyền điều khiển: Toàn bộ hệ thống Aviatrix Controller có thể bị chiếm quyền, mở đường cho các cuộc tấn công tiếp theo.

    

4. Khuyến Nghị

   Cập nhật phần mềm: Người dùng cần nâng cấp ngay Aviatrix Controller lên phiên bản 7.2.4996 hoặc mới hơn.

5. Tham khảo

• CVE-2024-50603 (CVSS 10): Critical Command Injection Vulnerability in Aviatrix Controller
• CVE-2024-50603: Aviatrix Network Controller Command Injection Vulnerability

Duy An – TTCN&TT

Theo Nền tảng điều phối xử lý sự cố an toàn thông tin mạng quốc gia