Chyba zabezpečení CVE-2024-3400
Od 26. března 2024 využívají aktéři hrozeb nově odhalenou zero-day zranitelnost v softwaru Palo Alto Networks PAN-OS. Tato činnost, kterou výzkumníci nazvali Operation MidnightEclipse, je připisována jedinému neidentifikovanému aktérovi hrozby.
Chyba zabezpečení, známá jako CVE-2024-3400 a hodnocená CVSS skóre 10,0, je chyba vkládání příkazů. Umožňuje neověřeným hackerům spouštět libovolný kód s právy root na dotčených firewallech. Tento problém se týká pouze konfigurací PAN-OS 10.2, PAN-OS 11.0 a PAN-OS 11.1 se zapnutou bránou GlobalProtect a telemetrií zařízení.
Obsah
Útočníci využívají zranitelnost CVE-2024-3400 k šíření malwaru backdoor
Operace MidnightEclipse zahrnuje využití zranitelnosti k vytvoření úlohy cron, která se spouští každou minutu, získává příkazy z externího serveru ('172.233.228.93/policy' nebo '172.233.228.93/patch') a spouští je přes bash shell.
Útočníci údajně ručně řídili seznam řízení přístupu (ACL) pro server Command-and-Control (C2) a zajistili, že k němu bude mít přístup pouze komunikující zařízení.
I když přesná funkce příkazu zůstává nejasná, existuje podezření, že slouží jako doručovací mechanismus pro zadní vrátka založená na Pythonu nazvanou UPSTYLE výzkumníky sledujícími využívání CVE-2024-3400. Tento backdoor je hostován na samostatném serveru ('144.172.79.92' a 'nhdata.s3-us-west-2.amazonaws.com').
Soubor Python je navržen tak, aby vytvořil a spustil další skript Python ('system.pth'), který zase dekóduje a spouští vestavěnou komponentu backdoor odpovědnou za provádění příkazů aktéra hrozby. Výsledky těchto operací jsou zaznamenány do souboru s názvem 'sslvpn_ngx_error.log', zatímco jiný soubor s názvem 'bootstrap.min.css' zaznamenává další aktivitu.
Útočníci se snaží získat citlivé informace z infikovaných zařízení
Pozoruhodným aspektem řetězce útoků je využití legitimních souborů spojených s bránou firewall pro extrahování příkazů a protokolování výsledků:
- /var/log/pan/sslvpn_ngx_error.log
- /var/appweb/sslvpndocs/global-protect/portal/css/bootstrap.min.css
Chcete-li zapsat příkazy do protokolu chyb webového serveru, aktér hrozby vytvoří specifické síťové požadavky zaměřené na neexistující webovou stránku s určitým vzorem. Následně backdoor prohledá soubor protokolu, zda neobsahuje řádky odpovídající předem definovanému regulárnímu výrazu ('img[([a-zA-Z0-9+/=]+)]'), aby dekódoval a provedl vložené příkazy.
Skript navíc vytvoří nové vlákno pro provedení funkce s názvem 'restore'. Tato funkce obnoví původní obsah a přístupové/upravené časy souboru bootstrap.min.css po 15sekundové prodlevě, čímž účinně vymaže stopy výstupů příkazů.
Primárním cílem se zdá být minimalizace důkazů o provádění příkazu, což vyžaduje exfiltraci výsledků do 15 sekund před přepsáním souboru.
Výzkumníci pozorovali, jak aktér hrozby vzdáleně zneužívá firewall k vytvoření reverzního shellu, získávání dalších nástrojů, pronikání do vnitřních sítí a nakonec k extrakci dat. Přesný rozsah kampaně zůstává nejistý. Herec byl nazván UTA0218 a předvádí pokročilé schopnosti a rychlé provedení, které svědčí o zkušeném aktérovi hrozeb s předdefinovanou strategií k dosažení svých cílů.
Zpočátku se UTA0218 zaměřoval na získávání doménových záložních klíčů DPAPI a cílení na pověření aktivního adresáře pro získání souboru NTDS.DIT. Snažili se také kompromitovat uživatelské pracovní stanice, aby ukradli uložené soubory cookie, přihlašovací údaje a klíče DPAPI.
Organizacím se doporučuje sledovat známky vnitřního laterálního pohybu.
CISA varuje před zranitelností CVE-2024-3400
Vývoj kolem zranitelnosti CVE-2024-3400 přiměl americkou Agenturu pro kybernetickou bezpečnost a bezpečnost infrastruktury (CISA), aby zahrnula tuto chybu do svého katalogu známých zneužitých zranitelností (KEV) a pověřila federální agentury, aby použily záplaty pro zmírnění potenciálních hrozeb.
Cílení na okrajová zařízení zůstává oblíbeným vektorem útoku pro zkušené aktéry hrozeb, kteří potřebují potřebný čas a zdroje k prozkoumání nových zranitelností.
Vzhledem ke zdrojům potřebným k vývoji a zneužití takové zranitelnosti, povaze cílených obětí a prokázaným schopnostem při instalaci zadních vrátek Pythonu a infiltraci sítí obětí je vysoce pravděpodobné, že UTA0218 je státem podporovaný aktér hrozby.