Ευπάθεια CVE-2024-3400
Από τις 26 Μαρτίου 2024, οι φορείς απειλών εκμεταλλεύονται μια νέα ευπάθεια zero-day που αποκαλύφθηκε στο λογισμικό PAN-OS της Palo Alto Networks. Αυτή η δραστηριότητα, που ονομάστηκε Operation MidnightEclipse από ερευνητές, αποδίδεται σε έναν μεμονωμένο άγνωστο παράγοντα απειλής.
Η ευπάθεια, γνωστή ως CVE-2024-3400 και βαθμολογείται με βαθμολογία CVSS 10,0, είναι ένα ελάττωμα ένεσης εντολών. Επιτρέπει σε μη επαληθευμένους χάκερ να εκτελούν αυθαίρετο κώδικα με δικαιώματα root στα επηρεαζόμενα τείχη προστασίας. Συγκεκριμένα, αυτό το ζήτημα επηρεάζει μόνο τις διαμορφώσεις PAN-OS 10.2, PAN-OS 11.0 και PAN-OS 11.1 με ενεργοποιημένη την πύλη GlobalProtect και την τηλεμετρία συσκευής.
Πίνακας περιεχομένων
Οι εισβολείς εκμεταλλεύονται την ευπάθεια CVE-2024-3400 για να παραδώσουν ένα κακόβουλο λογισμικό Backdoor
Η λειτουργία MidnightEclipse περιλαμβάνει τη μόχλευση της ευπάθειας για τη δημιουργία μιας εργασίας cron που εκτελείται κάθε λεπτό, τη λήψη εντολών από έναν εξωτερικό διακομιστή ('172.233.228.93/policy' ή '172.233.228.93/patch') και την εκτέλεση τους μέσω του κελύφους bash.
Οι εισβολείς φέρεται να έχουν ελέγξει χειροκίνητα μια λίστα ελέγχου πρόσβασης (ACL) για τον διακομιστή Command-and-Control (C2), διασφαλίζοντας ότι μόνο η συσκευή επικοινωνίας μπορεί να έχει πρόσβαση σε αυτήν.
Ενώ η ακριβής λειτουργία της εντολής παραμένει ασαφής, υπάρχει υποψία ότι χρησιμεύει ως μηχανισμός παράδοσης για μια κερκόπορτα βασισμένη σε Python που ονομάζεται UPSTYLE από ερευνητές που παρακολουθούν την εκμετάλλευση του CVE-2024-3400. Αυτό το backdoor φιλοξενείται σε ξεχωριστό διακομιστή ('144.172.79.92' και 'nhdata.s3-us-west-2.amazonaws.com').
Το αρχείο Python έχει σχεδιαστεί για να δημιουργεί και να εκτελεί ένα άλλο σενάριο Python ('system.pth'), το οποίο με τη σειρά του αποκωδικοποιεί και εκκινεί το ενσωματωμένο στοιχείο backdoor που είναι υπεύθυνο για την εκτέλεση των εντολών του παράγοντα απειλής. Τα αποτελέσματα αυτών των λειτουργιών καταγράφονται σε ένα αρχείο με το όνομα "sslvpn_ngx_error.log", ενώ ένα άλλο αρχείο με το όνομα "bootstrap.min.css" καταγράφει πρόσθετη δραστηριότητα.
Οι επιτιθέμενοι επιδιώκουν να συλλέξουν ευαίσθητες πληροφορίες από μολυσμένες συσκευές
Μια αξιοσημείωτη πτυχή της αλυσίδας επίθεσης είναι η χρήση νόμιμων αρχείων που σχετίζονται με το τείχος προστασίας τόσο για την εξαγωγή εντολών όσο και για την καταγραφή των αποτελεσμάτων:
- /var/log/pan/sslvpn_ngx_error.log
- /var/appweb/sslvpndocs/global-protect/portal/css/bootstrap.min.css
Για να γράψετε εντολές στο αρχείο καταγραφής σφαλμάτων διακομιστή Ιστού, ο παράγοντας απειλής δημιουργεί συγκεκριμένα αιτήματα δικτύου που στοχεύουν μια ανύπαρκτη ιστοσελίδα με ένα συγκεκριμένο μοτίβο. Στη συνέχεια, η κερκόπορτα σαρώνει το αρχείο καταγραφής για γραμμές που ταιριάζουν με μια προκαθορισμένη κανονική έκφραση ('img[([a-zA-Z0-9+/=]+)') για να αποκωδικοποιήσει και να εκτελέσει ενσωματωμένες εντολές.
Επιπλέον, το σενάριο δημιουργεί ένα νέο νήμα για την εκτέλεση μιας συνάρτησης με το όνομα 'restore'. Αυτή η συνάρτηση επαναφέρει το αρχικό περιεχόμενο και τους χρόνους πρόσβασης/τροποποιημένους του αρχείου bootstrap.min.css μετά από καθυστέρηση 15 δευτερολέπτων, διαγράφοντας ουσιαστικά τα ίχνη των εξόδων εντολών.
Ο πρωταρχικός στόχος φαίνεται να είναι η ελαχιστοποίηση των στοιχείων εκτέλεσης εντολών, που απαιτεί την εξαγωγή των αποτελεσμάτων εντός 15 δευτερολέπτων πριν από την αντικατάσταση του αρχείου.
Οι ερευνητές παρατήρησαν τον παράγοντα απειλής να εκμεταλλεύεται εξ αποστάσεως το τείχος προστασίας για να δημιουργήσει ένα αντίστροφο κέλυφος, να αποκτήσει πρόσθετα εργαλεία, να διεισδύσει σε εσωτερικά δίκτυα και τελικά να εξάγει δεδομένα. Το ακριβές εύρος της εκστρατείας παραμένει αβέβαιο. Ο ηθοποιός έχει ονομαστεί UTA0218, επιδεικνύοντας προηγμένες δυνατότητες και ταχεία εκτέλεση ενδεικτικά ενός ειδικευμένου ηθοποιού απειλών με μια προκαθορισμένη στρατηγική για την επίτευξη των στόχων του.
Αρχικά, το UTA0218 επικεντρώθηκε στην απόκτηση αντιγράφων ασφαλείας του τομέα κλειδιών DPAPI και στη στόχευση διαπιστευτηρίων ενεργού καταλόγου για την απόκτηση του αρχείου NTDS.DIT. Προσπάθησαν επίσης να παραβιάσουν τους σταθμούς εργασίας των χρηστών για να κλέψουν αποθηκευμένα cookie, δεδομένα σύνδεσης και κλειδιά DPAPI.
Συνιστάται στους οργανισμούς να παρακολουθούν για σημάδια εσωτερικής πλευρικής κίνησης.
Η CISA προειδοποιεί για την ευπάθεια CVE-2024-3400
Οι εξελίξεις γύρω από την ευπάθεια CVE-2024-3400 ώθησαν την Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομής των ΗΠΑ (CISA) να συμπεριλάβει το ελάττωμα στον κατάλογο Γνωστών Εκμεταλλευόμενων Ευπαθειών (KEV), υποχρεώνοντας τις ομοσπονδιακές υπηρεσίες να εφαρμόζουν ενημερώσεις κώδικα για τον μετριασμό πιθανών απειλών.
Η στόχευση συσκευών αιχμής παραμένει ένας προτιμώμενος φορέας επίθεσης για έμπειρους παράγοντες απειλών που χρειάζονται τον απαραίτητο χρόνο και πόρους για να εξερευνήσουν νέα τρωτά σημεία.
Δεδομένων των πόρων που απαιτούνται για την ανάπτυξη και την εκμετάλλευση μιας τέτοιας ευπάθειας, τη φύση των στοχευμένων θυμάτων και τις αποδεδειγμένες δυνατότητες εγκατάστασης της κερκόπορτας Python και διείσδυσης σε δίκτυα θυμάτων, είναι πολύ πιθανό ότι το UTA0218 είναι ένας παράγοντας απειλής που υποστηρίζεται από το κράτος.
