Mandiant 通过将多个漏洞链接在一起并利用薄弱的架构决策,成功地攻破了 Aviatrix 控制器(软件定义网络 (SDN) 架构中的核心组件)的完全修补实例。这次攻击最终导致根级远程代码执行和云转向 AWS 基础设施,利用两个新的 CVE:
- CVE-2025-2171 (CVSS 7.8) — 绕过身份验证
- CVE-2025-2172 (CVSS 6.6) — 通过不安全参数处理进行经过身份验证的命令注入
“这证实了我们通过身份验证绕过、不安全文件上传和参数注入成功利用了完全修补的 Aviatrix 控制器,”报告指出。
Aviatrix 充当多云网络的集中控制平面,其控制器组件是跨 AWS、Azure 和 Google Cloud 的网关编排背后的大脑。Mandiant 分析的实例托管在 AWS 上并且似乎经过强化,提供的攻击面最小,直到团队开始对其进行逆向工程。
发现控制器使用混合架构:
- PHP 前端解析 HTTP 请求
- PyInstaller 打包的 Python 3.10 二进制文件 cloudxd 通过 sudo 调用处理后端逻辑
CVE-2025-2171:通过弱令牌熵绕过身份验证
Mandiant 发现 Aviatrix 的密码重置机制生成了 6 位数的令牌(范围从 111111 到 999999),并且没有适当的速率限制保护。
“密码重置令牌熵太弱,无法有效……不到 900,000 名候选人,“报告解释说。
凭借这些知识和一些脚本,Mandiant 每 15 分钟(令牌到期窗口)运行一次暴力攻击,最终破坏了默认管理员帐户。
“16 小时 23 分钟后,我们得到了匹配项。”
CVE-2025-2172:通过文件名走私进行命令注入
访问管理面板并不是结束,而是更严重升级的开始。红队发现文件上传功能允许在文件名中使用制表符,并且这些文件名后来使用 shlex.split() 传递到 shell 命令中——这是一种危险的组合。
“因此,通过将制表符添加到上传的文件名中,可以将命令行参数偷运到 shell 解释器中。”
通过精心制作的文件名,Mandiant 将参数偷运到 cp 命令中,并最终覆盖了 root 用户的 crontab,注入了一个恶意作业来每分钟回调一次。
“在一分钟内,以及之后的每一分钟,我们都会收到一个 curl 回调……执行上下文也在 root 下。
从控制器内的这个特权位置,该团队访问 AWS 实例元数据服务 (IMDSv2) 以获取云凭证。通过 AWS STS,他们承担了更高的角色并获得了以下访问权限:
- EC2 实例管理
- S3 存储桶访问
- 完整的 AWS 云控制
Crontab 成功执行 curl 命令 |图片来源: Mandiant
Aviatrix Controller 版本 8.0.0、7.2.5090 和 7.1.4208 中已发布补丁。
我们敦促管理员立即更新到这些版本,并在其环境中审核基于令牌的身份验证和文件处理逻辑。
发表评论
您还未登录,请先登录。
登录