Dos vulnerabilidades críticas en el controlador AviAtrix, una utilidad de redes definidas por software (SDN) que permite la conectividad en la nube en diferentes proveedores y regiones.
Las vulnerabilidades permitieron a los atacantes evitar la autenticación y ejecutar el código remoto con privilegios raíz, lo que puede comprometer las infraestructuras de nube enteras.
Resumen 1. Dos vulnerabilidades (CVE-2025-2171 y CVE-2025-2172) en el controlador Aviatrix permitieron a los atacantes evitar la autenticación del administrador y ejecutar código remoto. 2. Los atacantes obtuvieron acceso a la raíz explotando una falla de inyección de comando en la función de carga de archivos, utilizando nombres de archivo malicioso con caracteres TAB. 3. Explotación exitosa otorgó a los atacantes el control centralizado sobre las puertas de enlace de la nube y las API, lo que puede conducir a una adquisición completa del entorno de la nube. 4. Aviatrix lanzó parches de seguridad para las versiones 8.0.0, 7.2.5090 y 7.1.4208, abordando las vulnerabilidades en las versiones del controlador 7.2.5012 y antes.
Vulnerabilidades críticas del controlador de aviatrix
Los investigadores de seguridad de Mandiant revelaron fallas de seguridad, rastreados como CVE-2025-2171 y CVE-2025-2172, afectaron las versiones del controlador AviAtrix 7.2.5012 y antes.
CVE-2025-2171 representa una vulnerabilidad de omitido de autenticación de administrador, mientras que CVE-2025-2172 implica inyección de comandos autenticada.
Durante un compromiso del equipo rojo, los investigadores de Mandiant descubrieron que el bypass de autenticación podría explotarse a través de un mecanismo de restablecimiento de contraseña débil.
Pasos de explotación
El sistema generó tokens de restablecimiento de contraseña de 6 dígitos que varían de 111,111 a 999,999, creando solo 888,888 candidatos únicos con una ventana de validez de 15 minutos.
Los investigadores forzaron con éxito la cuenta del administrador después de 16 horas y 23 minutos de intentos continuos.
La arquitectura del controlador AviAtrix consiste en una base de código Python 3.10 agrupada con Pyinstaller, llamado por un front-end de PHP que procesa las solicitudes HTTP. Cuando los usuarios intentan iniciar sesión, el sistema ejecuta comandos como:
Después de obtener acceso inicial, los investigadores identificaron una vulnerabilidad de inyección de comando en la funcionalidad de carga de archivo.
La función upload_file () del sistema permitió a los atacantes controlar los nombres de archivo parcial, incluidos los caracteres de TAB, que podrían explotarse para contrabandear argumentos de línea de comandos.
La vulnerabilidad explotó la función shlex.split () utilizada por el sistema para tokenizar las cadenas de comando.
Al cargar archivos con nombres especialmente diseñados que contienen caracteres TAB, los atacantes podrían inyectar argumentos adicionales en los comandos de shell.
Por ejemplo, un nombre de archivo como Foobar.foo {TAB} -BAR {TAB} –BAZ se tokenizaría como argumentos de comando separados.
Los investigadores demostraron la exploit dirigiéndose a la función de instalación del certificado CA de la utilidad de administración proxy, que utilizó el comando CP para copiar archivos cargados.
A través de una cuidadosa inyección de argumentos, sobrescriben /etc /crontab con contenido malicioso, logrando un acceso de raíz persistente:
Productos afectados por CVEMPACTEXPLOIT Requisitos previos de la autenticación del controlador del controlador A17171ViAdRix 7.2.5012 y la autenticación priorizada de autenticación de la autenticación que permite el acceso administrativo de acceso administrativo no autorizado a la interfaz del controlador AVIATRIX, la capacidad de iniciar la contraseña de la contraseña del proceso que conduce el proceso de procesamiento de 2025-2172aviatrix. Ejecución con credenciales de administrador de privilegios de raíz (obtenidas a través de CVE-2025-2171), acceso a la funcionalidad de carga de archivos
Compromiso de la infraestructura en la nube
La explotación exitosa proporcionó a los atacantes acceso a la raíz al controlador AviAtrix, que sirve como un componente centralizado que administra las puertas de enlace de la nube y las API en múltiples proveedores de nubes.
Desde esta posición, los investigadores podrían consultar el punto final AWS IMDSV2 para obtener credenciales de nubes efímeras y realizar suposiciones de roles para obtener un acceso más amplio en la nube.
La cadena de ataque demuestra cómo el compromiso del controlador Aviatrix puede conducir a completar la adquisición del entorno de la nube, ya que el controlador mantiene el acceso privilegiado a las puertas de enlace implementadas y las API de la nube en diferentes regiones y proveedores.
Aviatriz liberado Parches de seguridad el 31 de marzo de 2025, para las versiones 8.0.0, 7.2.5090 y 7.1.4208, abordando las vulnerabilidades en las versiones del controlador 7.2.5012 y antes.
Las organizaciones que utilizan versiones afectadas deben actualizarse inmediatamente a las lanzamientos parcheadas para evitar el compromiso potencial de su infraestructura en la nube.
¿Eres de los equipos SOC/DFIR! – Interactuar con malware en el sandbox y encontrar IOC relacionados. – Solicitar prueba gratuita de 14 días
