CVE-2024-50603

Aviatrix Controllers

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2025-01-16

Официальное описание

Aviatrix Controllers contain an OS command injection vulnerability that could allow an unauthenticated attacker to execute arbitrary code. Shell metacharacters can be sent to /v1/api in cloud_type for list_flightpath_destination_instances, or src_cloud_type for flightpath_connection_test.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2024-50603 представляет собой критическую уязвимость типа OS Command Injection (внедрение команд ОС) в контроллерах Aviatrix. Проблема заключается в недостаточной фильтрации входных данных, передаваемых через API-эндпоинт /v1/api.

Злоумышленник, не имеющий учетных данных (unauthenticated), может отправить специально сформированный HTTP-запрос, содержащий метасимволы оболочки (shell metacharacters) в параметрах: * cloud_type для действия list_flightpath_destination_instances. * src_cloud_type для действия flightpath_connection_test.

Поскольку эти параметры напрямую передаются в системные вызовы операционной системы без надлежащей очистки, это позволяет атакующему выполнить произвольный код с правами root на уровне контроллера.

Как исправить

Единственным надежным способом устранения уязвимости является обновление программного обеспечения контроллера до версий, в которых была внедрена проверка входных данных.

  1. Выполните резервное копирование конфигурации контроллера перед началом обновления.
  2. Обновите Aviatrix Controller через административную панель (Settings -> Controller -> Upgrade) до одной из следующих версий (или выше):
    • 7.1.4193
    • 7.2.4992

Команда для проверки текущей версии через CLI (если доступно):

curl -s -X POST http://localhost/v1/api -d "action=get_controller_version"

Временные меры

Если немедленное обновление невозможно, необходимо минимизировать риски с помощью сетевого экранирования и ограничения доступа:

  1. Ограничение доступа к API: Настройте правила Security Groups (в AWS/Azure/GCP) или внешние межсетевые экраны так, чтобы доступ к порту 443 контроллера был разрешен только с доверенных IP-адресов администраторов.

  2. Использование WAF (Web Application Firewall): Настройте правила фильтрации для блокировки запросов к /v1/api, содержащих подозрительные метасимволы (например, ;, &, |, `, $()) в теле POST-запроса.

  3. Мониторинг логов: Настройте алертинг на специфические вызовы API в логах контроллера:

grep -E "list_flightpath_destination_instances|flightpath_connection_test" /var/log/apache2/access.log
  1. Проверка на компрометацию: Проверьте наличие подозрительных процессов в системе:
ps auxf
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей