Mandiant 通过将多个漏洞链接在一起并利用薄弱的架构决策，成功地攻破了 Aviatrix 控制器（软件定义网络 （SDN） 架构中的核心组件）的完全修补实例。这次攻击最终导致根级远程代码执行和云转向 AWS 基础设施，利用两个新的 CVE：

CVE-2025-2171 （CVSS 7.8） — 绕过身份验证CVE-2025-2172 （CVSS 6.6） — 通过不安全参数处理进行经过身份验证的命令注入

“这证实了我们通过身份验证绕过、不安全文件上传和参数注入成功利用了完全修补的 Aviatrix 控制器，”报告指出。

Aviatrix 充当多云网络的集中控制平面，其控制器组件是跨 AWS、Azure 和 Google Cloud 的网关编排背后的大脑。Mandiant 分析的实例托管在 AWS 上并且似乎经过强化，提供的攻击面最小，直到团队开始对其进行逆向工程。

发现控制器使用混合架构：

PHP 前端解析 HTTP 请求PyInstaller 打包的 Python 3.10 二进制文件 cloudxd 通过 sudo 调用处理后端逻辑

CVE-2025-2171：通过弱令牌熵绕过身份验证

Mandiant 发现 Aviatrix 的密码重置机制生成了 6 位数的令牌（范围从 111111 到 999999），并且没有适当的速率限制保护。

“密码重置令牌熵太弱，无法有效……不到 900,000 名候选人，“报告解释说。

凭借这些知识和一些脚本，Mandiant 每 15 分钟（令牌到期窗口）运行一次暴力攻击，最终破坏了默认管理员帐户。

“16 小时 23 分钟后，我们得到了匹配项。”

CVE-2025-2172：通过文件名走私进行命令注入

访问管理面板并不是结束，而是更严重升级的开始。红队发现文件上传功能允许在文件名中使用制表符，并且这些文件名后来使用 shlex.split（） 传递到 shell 命令中——这是一种危险的组合。

“因此，通过将制表符添加到上传的文件名中，可以将命令行参数偷运到 shell 解释器中。”

通过精心制作的文件名，Mandiant 将参数偷运到 cp 命令中，并最终覆盖了 root 用户的 crontab，注入了一个恶意作业来每分钟回调一次。

“在一分钟内，以及之后的每一分钟，我们都会收到一个 curl 回调……执行上下文也在 root 下。

从控制器内的这个特权位置，该团队访问 AWS 实例元数据服务 （IMDSv2） 以获取云凭证。通过 AWS STS，他们承担了更高的角色并获得了以下访问权限：

EC2 实例管理S3 存储桶访问完整的 AWS 云控制

Crontab 成功执行 curl 命令 |图片来源： Mandiant

Aviatrix Controller 版本 8.0.0、7.2.5090 和 7.1.4208 中已发布补丁。

我们敦促管理员立即更新到这些版本，并在其环境中审核基于令牌的身份验证和文件处理逻辑。