CVE-2021-40870

Aviatrix Aviatrix Controller

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2022-01-18

Официальное описание

Unrestricted upload of a file with a dangerous type is possible, which allows an unauthenticated user to execute arbitrary code via directory traversal.

🛡️
Технический анализ и план устранения

Суть уязвимости

Неаутентифицированный злоумышленник может загрузить произвольный файл (например, веб-шелл) в контроллер Aviatrix, используя уязвимость типа "Unrestricted File Upload". За счет обхода ограничений на путь (Directory Traversal) файл может быть размещен в директории, доступной для выполнения, что приводит к возможности запуска произвольного кода на сервере и полному компрометированию системы.

Как исправить

Установите патченную версию Aviatrix Controller, в которой данная уязвимость устранена.

  1. Определите текущую версию контроллера. Войдите в веб-интерфейс контроллера и проверьте версию в разделе Settings -> Controller.

  2. Обновитесь до одной из исправленных версий:

    • Aviatrix Controller 6.5 — до версии 6.5.2524 или выше.
    • Aviatrix Controller 6.4 — до версии 6.4.3047 или выше.
    • Aviatrix Controller 6.3 — до версии 6.3.2623 или выше.

  3. Процедура обновления (пример для версии 6.5):

    • Скачайте последний стабильный образ с исправлением с официального портала поддержки Aviatrix.
    • Загрузите образ в свою облачную среду (AWS AMI, Azure VHD и т.д.).
    • Замените текущий инстанс контроллера на новый, используя обновленный образ, следуя официальной документации Aviatrix по миграции.

Временное решение

Если немедленное обновление невозможно, примите следующие меры для снижения риска:

  1. Ограничьте сетевой доступ:

    • Настройте группы безопасности (Security Groups) или сетевые ACL так, чтобы доступ к веб-интерфейсу контроллера (обычно порты 443/TCP) был разрешен только с доверенных IP-адресов (например, из корпоративной сети или VPN).
    • Блокируйте все входящие подключения к контроллеру из интернета.

  2. Настройте WAF (Web Application Firewall):

    • Разместите контроллер за WAF (например, AWS WAF, Cloudflare, или аппаратным решением).
    • Настройте в WAF правила для блокировки:
      • Попыток загрузки файлов с опасными расширениями (.jsp, .php, .asp, .exe, .sh и т.д.).
      • Строк, указывающих на попытку обхода пути (содержащих ../, ..\, %2e%2e%2f).

    Пример правила для ModSecurity (CRS): apache SecRule FILES "@rx \.(jsp|php|asp|exe|sh|pl)$" \ "id:1000,\ phase:2,\ deny,\ status:403,\ msg:'Attempt to upload executable file'"

  3. Усильте мониторинг:

    • Включите детальное логирование веб-доступа к контроллеру.
    • Настройте алерты на любые попытки загрузки файлов (POST-запросы к путям, содержащим upload) от неаутентифицированных сессий или с подозрительными User-Agent.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей