CVE-2024-3400 দুর্বলতা

26 শে মার্চ, 2024 সাল থেকে, হুমকি অভিনেতারা Palo Alto Networks PAN-OS সফ্টওয়্যারে একটি নতুন প্রকাশিত শূন্য-দিনের দুর্বলতার সুবিধা নিচ্ছে। গবেষকদের দ্বারা ডাব করা অপারেশন মিডনাইট ইক্লিপস, এই কার্যকলাপটি একক অজ্ঞাত হুমকি অভিনেতাকে দায়ী করা হয়েছে।

দুর্বলতা, CVE-2024-3400 নামে পরিচিত এবং CVSS স্কোর 10.0 দিয়ে রেট করা হয়েছে, এটি একটি কমান্ড ইনজেকশন ত্রুটি। এটি অননুমোদিত হ্যাকারদের প্রভাবিত ফায়ারওয়ালে রুট সুবিধা সহ নির্বিচারে কোড চালানোর অনুমতি দেয়। উল্লেখযোগ্যভাবে, এই সমস্যাটি শুধুমাত্র PAN-OS 10.2, PAN-OS 11.0, এবং PAN-OS 11.1 কনফিগারেশনগুলিকে প্রভাবিত করে যার সাথে GlobalProtect গেটওয়ে এবং ডিভাইস টেলিমেট্রি সক্ষম।

আক্রমণকারীরা একটি ব্যাকডোর ম্যালওয়্যার সরবরাহ করার জন্য CVE-2024-3400 দুর্বলতাকে কাজে লাগায়

অপারেশন মিডনাইট ইক্লিপস-এর মধ্যে একটি ক্রন জব স্থাপনের দুর্বলতাকে কাজে লাগানো জড়িত যা প্রতি মিনিটে কার্যকর হয়, একটি বহিরাগত সার্ভার ('172.233.228.93/পলিসি' বা '172.233.228.93/প্যাচ') থেকে কমান্ড আনা এবং সেগুলিকে bash এর মাধ্যমে চালায়।

আক্রমণকারীরা কমান্ড-এন্ড-কন্ট্রোল (C2) সার্ভারের জন্য একটি অ্যাক্সেস কন্ট্রোল তালিকা (ACL) ম্যানুয়ালি নিয়ন্ত্রণ করেছে, এটি নিশ্চিত করে যে শুধুমাত্র যোগাযোগকারী ডিভাইস এটি অ্যাক্সেস করতে পারে।

কমান্ডের সুনির্দিষ্ট কার্যকারিতা অস্পষ্ট থাকলেও, CVE-2024-3400-এর শোষণ ট্র্যাকিং গবেষকদের দ্বারা পাইথন-ভিত্তিক ব্যাকডোর ডাবড UPSTYLE-এর জন্য একটি ডেলিভারি মেকানিজম হিসেবে কাজ করছে বলে সন্দেহ করা হচ্ছে। এই ব্যাকডোরটি একটি পৃথক সার্ভারে হোস্ট করা হয়েছে ('144.172.79.92' এবং 'nhdata.s3-us-west-2.amazonaws.com')।

পাইথন ফাইলটি অন্য একটি পাইথন স্ক্রিপ্ট ('system.pth') তৈরি এবং কার্যকর করার জন্য ডিজাইন করা হয়েছে, যা পরবর্তীতে হুমকি অভিনেতার আদেশগুলি কার্যকর করার জন্য দায়ী এমবেডেড ব্যাকডোর উপাদানটিকে ডিকোড করে এবং চালু করে। এই ক্রিয়াকলাপের ফলাফলগুলি 'sslvpn_ngx_error.log' নামের একটি ফাইলে লগ করা হয়, যখন 'bootstrap.min.css' নামের আরেকটি ফাইল অতিরিক্ত কার্যকলাপ রেকর্ড করে।

আক্রমণকারীরা সংক্রামিত ডিভাইস থেকে সংবেদনশীল তথ্য সংগ্রহ করতে চায়

অ্যাটাক চেইনের একটি উল্লেখযোগ্য দিক হল এক্সট্রাক্টিং কমান্ড এবং লগিং ফলাফল উভয়ের জন্য ফায়ারওয়ালের সাথে যুক্ত বৈধ ফাইলের ব্যবহার:

• /var/log/pan/sslvpn_ngx_error.log
• /var/appweb/sslvpndocs/global-protect/portal/css/bootstrap.min.css

ওয়েব সার্ভার ত্রুটি লগে কমান্ড লিখতে, হুমকি অভিনেতা একটি নির্দিষ্ট প্যাটার্ন সহ একটি অস্তিত্বহীন ওয়েব পৃষ্ঠাকে লক্ষ্য করে নির্দিষ্ট নেটওয়ার্ক অনুরোধগুলি তৈরি করে। পরবর্তীকালে, ব্যাকডোর এম্বেডেড কমান্ড ডিকোড এবং এক্সিকিউট করার জন্য পূর্বনির্ধারিত রেগুলার এক্সপ্রেশন ('img[([a-zA-Z0-9+/=]+)]') এর সাথে মিলে যাওয়া লাইনের জন্য লগ ফাইল স্ক্যান করে।

উপরন্তু, স্ক্রিপ্ট 'পুনরুদ্ধার' নামে একটি ফাংশন চালানোর জন্য একটি নতুন থ্রেড তৈরি করে। এই ফাংশনটি 15-সেকেন্ড বিলম্বের পরে bootstrap.min.css ফাইলের মূল বিষয়বস্তু এবং অ্যাক্সেস/পরিবর্তিত সময় পুনরুদ্ধার করে, কার্যকরভাবে কমান্ড আউটপুটগুলির চিহ্নগুলি মুছে দেয়।

প্রাথমিক উদ্দেশ্যটি কমান্ড কার্যকর করার প্রমাণ ন্যূনতম করা বলে মনে হচ্ছে, ফাইল ওভাররাইট করার আগে 15 সেকেন্ডের মধ্যে ফলাফলের বহিঃপ্রকাশ প্রয়োজন।

গবেষকরা লক্ষ্য করেছেন যে হুমকি অভিনেতা দূরবর্তীভাবে একটি বিপরীত শেল স্থাপন করতে, অতিরিক্ত সরঞ্জামগুলি অর্জন করতে, অভ্যন্তরীণ নেটওয়ার্কগুলিতে প্রবেশ করতে এবং শেষ পর্যন্ত ডেটা বের করতে ফায়ারওয়ালকে কাজে লাগাচ্ছে। প্রচারণার সঠিক পরিধি অনিশ্চিত রয়ে গেছে। অভিনেতাকে UTA0218 ডাব করা হয়েছে, যা তাদের লক্ষ্য অর্জনের জন্য পূর্বনির্ধারিত কৌশল সহ একজন দক্ষ হুমকি অভিনেতার উন্নত ক্ষমতা এবং দ্রুত সম্পাদনের ইঙ্গিত প্রদর্শন করে।

প্রাথমিকভাবে, UTA0218 ডোমেন ব্যাকআপ DPAPI কীগুলি অর্জনের উপর দৃষ্টি নিবদ্ধ করে এবং NTDS.DIT ফাইলটি পাওয়ার জন্য সক্রিয় ডিরেক্টরি শংসাপত্রগুলিকে লক্ষ্য করে। তারা সংরক্ষিত কুকি, লগইন ডেটা এবং ডিপিএপিআই কীগুলি চুরি করার জন্য ব্যবহারকারীর ওয়ার্কস্টেশনগুলির সাথে আপস করার চেষ্টা করেছিল।

অভ্যন্তরীণ পার্শ্বীয় আন্দোলনের লক্ষণগুলির জন্য সংস্থাগুলিকে পর্যবেক্ষণ করার পরামর্শ দেওয়া হয়।

CISA CVE-2024-3400 দুর্বলতা সম্পর্কে সতর্ক করে৷

CVE-2024-3400 ভলনারেবিলিটির আশেপাশের উন্নয়নগুলি ইউএস সাইবারসিকিউরিটি এবং ইনফ্রাস্ট্রাকচার সিকিউরিটি এজেন্সি (CISA) কে তার পরিচিত শোষিত দুর্বলতা (KEV) ক্যাটালগে ত্রুটিগুলি অন্তর্ভুক্ত করতে প্ররোচিত করেছে, সম্ভাব্য হুমকিগুলি প্রশমিত করার জন্য প্যাচ প্রয়োগ করতে ফেডারেল সংস্থাগুলিকে বাধ্য করেছে৷

টার্গেটিং এজ ডিভাইসগুলি দক্ষ হুমকি অভিনেতাদের জন্য একটি সুবিধাজনক আক্রমণ ভেক্টর হিসাবে রয়ে গেছে যাদের নতুন দুর্বলতাগুলি অন্বেষণ করার জন্য প্রয়োজনীয় সময় এবং সংস্থান প্রয়োজন।

এই ধরনের দুর্বলতা বিকাশ এবং শোষণের জন্য প্রয়োজনীয় সংস্থানগুলি, লক্ষ্যবস্তু শিকারের প্রকৃতি এবং পাইথন ব্যাকডোর ইনস্টল করার এবং ভিকটিম নেটওয়ার্কগুলিতে অনুপ্রবেশ করার ক্ষেত্রে প্রদর্শিত ক্ষমতার পরিপ্রেক্ষিতে, এটি অত্যন্ত সম্ভাব্য যে UTA0218 একটি রাষ্ট্র-সমর্থিত হুমকি অভিনেতা।