الثغرة الأمنية CVE-2024-3400
منذ 26 مارس 2024، تستغل الجهات الفاعلة في مجال التهديد ثغرة يوم الصفر التي تم الكشف عنها حديثًا في برنامج Palo Alto Networks PAN-OS. يُعزى هذا النشاط، الذي أطلق عليه الباحثون اسم "عملية MidnightEclipse"، إلى جهة تهديد واحدة مجهولة الهوية.
تعد الثغرة الأمنية، المعروفة باسم CVE-2024-3400 والمصنفة بدرجة CVSS 10.0، بمثابة عيب في حقن الأوامر. فهو يسمح للمتسللين غير المصادق عليهم بتنفيذ تعليمات برمجية عشوائية مع امتيازات الجذر على جدران الحماية المتضررة. والجدير بالذكر أن هذه المشكلة تؤثر فقط على تكوينات PAN-OS 10.2 وPAN-OS 11.0 وPAN-OS 11.1 مع تمكين بوابة GlobalProtect والقياس عن بعد للجهاز.
جدول المحتويات
يستغل المهاجمون الثغرة الأمنية CVE-2024-3400 لتقديم برنامج ضار خلفي
تتضمن عملية MidnightEclipse الاستفادة من الثغرة الأمنية لإنشاء مهمة cron يتم تنفيذها كل دقيقة، وجلب الأوامر من خادم خارجي ("172.233.228.93/policy" أو "172.233.228.93/patch") وتشغيلها عبر bash Shell.
وبحسب ما ورد، سيطر المهاجمون يدويًا على قائمة التحكم في الوصول (ACL) لخادم القيادة والتحكم (C2)، مما يضمن أن جهاز الاتصال فقط يمكنه الوصول إليها.
في حين أن الوظيفة الدقيقة للأمر لا تزال غير واضحة، فمن المتوقع أن تكون بمثابة آلية تسليم لباب خلفي قائم على بايثون يطلق عليه الباحثون اسم UPSTYLE الذين يتتبعون استغلال CVE-2024-3400. تتم استضافة هذا الباب الخلفي على خادم منفصل ('144.172.79.92' و'nhdata.s3-us-west-2.amazonaws.com').
تم تصميم ملف Python لإنشاء وتنفيذ برنامج نصي آخر لـ Python ("system.pth")، والذي بدوره يقوم بفك تشفير وتشغيل مكون الباب الخلفي المضمن المسؤول عن تنفيذ أوامر جهة التهديد. يتم تسجيل نتائج هذه العمليات في ملف يسمى "sslvpn_ngx_error.log"، بينما يسجل ملف آخر يسمى "bootstrap.min.css" نشاطًا إضافيًا.
يسعى المهاجمون إلى الحصول على معلومات حساسة من الأجهزة المصابة
أحد الجوانب البارزة في سلسلة الهجوم هو استخدام الملفات الشرعية المرتبطة بجدار الحماية لاستخراج الأوامر ونتائج التسجيل:
- /var/log/pan/sslvpn_ngx_error.log
- /var/appweb/sslvpndocs/global-protect/portal/css/bootstrap.min.css
لكتابة أوامر إلى سجل أخطاء خادم الويب، يقوم ممثل التهديد بصياغة طلبات شبكة محددة تستهدف صفحة ويب غير موجودة بنمط معين. بعد ذلك، يقوم الباب الخلفي بفحص ملف السجل بحثًا عن أسطر تتطابق مع تعبير عادي محدد مسبقًا ("img[([a-zA-Z0-9+/=]+)]') لفك تشفير الأوامر المضمنة وتنفيذها.
بالإضافة إلى ذلك، يقوم البرنامج النصي بإنشاء مؤشر ترابط جديد لتنفيذ وظيفة تسمى "الاستعادة". تستعيد هذه الوظيفة المحتوى الأصلي وأوقات الوصول/التعديل لملف bootstrap.min.css بعد تأخير مدته 15 ثانية، مما يؤدي إلى محو آثار مخرجات الأوامر بشكل فعال.
يبدو أن الهدف الأساسي هو تقليل الأدلة على تنفيذ الأمر، مما يتطلب استخراج النتائج خلال 15 ثانية قبل الكتابة فوق الملف.
لاحظ الباحثون أن جهة التهديد تستغل جدار الحماية عن بعد لإنشاء غلاف عكسي، والحصول على أدوات إضافية، واختراق الشبكات الداخلية، واستخراج البيانات في النهاية. النطاق الدقيق للحملة لا يزال غير مؤكد. وقد أطلق على الممثل اسم UTA0218، حيث يعرض القدرات المتقدمة والتنفيذ السريع مما يدل على وجود جهة فاعلة تهديد ماهرة مع استراتيجية محددة مسبقًا لتحقيق أهدافها.
في البداية، ركز UTA0218 على الحصول على مفاتيح DPAPI الاحتياطية للمجال واستهداف بيانات اعتماد الدليل النشط للحصول على ملف NTDS.DIT. لقد سعوا أيضًا إلى اختراق محطات عمل المستخدم لسرقة ملفات تعريف الارتباط المحفوظة وبيانات تسجيل الدخول ومفاتيح DPAPI.
تُنصح المنظمات بمراقبة علامات الحركة الجانبية الداخلية.
CISA تحذر من الثغرة الأمنية CVE-2024-3400
دفعت التطورات حول الثغرة الأمنية CVE-2024-3400 وكالة الأمن السيبراني وأمن البنية التحتية (CISA) الأمريكية إلى إدراج الخلل في كتالوج الثغرات الأمنية المعروفة (KEV)، مما يلزم الوكالات الفيدرالية بتطبيق تصحيحات للتخفيف من التهديدات المحتملة.
يظل استهداف الأجهزة الطرفية بمثابة ناقل الهجوم المفضل للجهات الفاعلة في مجال التهديد الماهرة التي تحتاج إلى الوقت والموارد اللازمة لاستكشاف نقاط الضعف الجديدة.
وبالنظر إلى الموارد المطلوبة لتطوير واستغلال مثل هذه الثغرة الأمنية، وطبيعة الضحايا المستهدفين، والقدرات المثبتة في تثبيت الباب الخلفي لـ Python والتسلل إلى شبكات الضحايا، فمن المحتمل جدًا أن يكون UTA0218 جهة تهديد مدعومة من الدولة.
