CVE-2024-3400 haavoittuvuus
Uhkatoimijat ovat 26. maaliskuuta 2024 lähtien hyödyntäneet Palo Alto Networksin PAN-OS-ohjelmiston äskettäin paljastettua nollapäivän haavoittuvuutta. Tutkijoiden nimeämä operaatio MidnightEclipse, tämä toiminta johtuu yhdestä tunnistamattomasta uhkatekijästä.
Haavoittuvuus, joka tunnetaan nimellä CVE-2024-3400 ja jonka CVSS-pistemäärä on 10,0, on komennon lisäysvirhe. Sen avulla todentamattomat hakkerit voivat suorittaa mielivaltaisen koodin pääkäyttäjän oikeuksilla palomuurissa, joita se koskee. Erityisesti tämä ongelma koskee vain PAN-OS 10.2-, PAN-OS 11.0- ja PAN-OS 11.1 -kokoonpanoja, joissa GlobalProtect-yhdyskäytävä ja laitteen telemetria on käytössä.
Sisällysluettelo
Hyökkääjät hyödyntävät CVE-2024-3400-haavoittuvuutta toimittaakseen takaoven haittaohjelman
Operaatio MidnightEclipse sisältää haavoittuvuuden hyödyntämisen luodakseen cron-työn, joka suoritetaan joka minuutti, noutamalla komentoja ulkoiselta palvelimelta ('172.233.228.93/policy' tai "172.233.228.93/patch") ja ajamalla ne bash-kuoren kautta.
Hyökkääjät ovat kuulemma ohjanneet manuaalisesti Command-and-Control (C2) -palvelimen pääsynhallintaluetteloa (ACL) varmistaen, että vain viestivä laite voi käyttää sitä.
Vaikka komennon tarkka tehtävä on edelleen epäselvä, sen epäillään toimivan toimitusmekanismina Python-pohjaiselle takaovelle, joka on nimetty UPSTYLE:ksi, kun tutkijat seuraavat CVE-2024-3400:n hyödyntämistä. Tätä takaovea isännöi erillinen palvelin ('144.172.79.92' ja "nhdata.s3-us-west-2.amazonaws.com").
Python-tiedosto on suunniteltu luomaan ja suorittamaan toinen Python-skripti ("system.pth"), joka puolestaan purkaa ja käynnistää upotetun takaoven komponentin, joka vastaa uhkatoimijan komentojen suorittamisesta. Näiden toimintojen tulokset kirjataan tiedostoon nimeltä "sslvpn_ngx_error.log", kun taas toinen tiedosto nimeltä "bootstrap.min.css" tallentaa lisätoimintoja.
Hyökkääjät pyrkivät keräämään arkaluonteisia tietoja tartunnan saaneilta laitteilta
Hyökkäysketjun huomionarvoinen osa on palomuuriin liittyvien laillisten tiedostojen hyödyntäminen sekä komentojen purkamiseen että lokitulosten kirjaamiseen:
- /var/log/pan/sslvpn_ngx_error.log
- /var/appweb/sslvpndocs/global-protect/portal/css/bootstrap.min.css
Kirjoittaakseen komentoja Web-palvelimen virhelokiin uhkatoimija laatii tiettyjä verkkopyyntöjä, jotka kohdistuvat olemattomalle Web-sivulle tietyllä mallilla. Tämän jälkeen takaovi etsii lokitiedostosta rivejä, jotka vastaavat ennalta määritettyä säännöllistä lauseketta ('img[([a-zA-Z0-9+/=]+)]') purkaakseen ja suorittaakseen upotettuja komentoja.
Lisäksi komentosarja synnyttää uuden säikeen suorittaakseen toiminnon nimeltä "restore". Tämä toiminto palauttaa bootstrap.min.css-tiedoston alkuperäisen sisällön ja käyttö-/muokkausajat 15 sekunnin viiveen jälkeen ja poistaa tehokkaasti komentojen tulosten jäljet.
Ensisijainen tavoite näyttää olevan komennon suorittamisen todisteiden minimoiminen, mikä edellyttää tulosten suodattamista 15 sekunnin sisällä ennen tiedoston korvaamista.
Tutkijat ovat havainneet uhkatoimijan etäkäytössä palomuuria luodakseen käänteisen kuoren, hankkiakseen lisätyökaluja, tunkeutuvan sisäisiin verkkoihin ja lopulta poimiakseen tietoja. Kampanjan tarkka laajuus on edelleen epäselvä. Näyttelijä on saanut nimekseen UTA0218, ja se esittelee edistyneitä kykyjä ja nopeaa suoritusta, mikä viittaa taitavaan uhkatoimijaan, jolla on ennalta määritetty strategia tavoitteidensa saavuttamiseksi.
Aluksi UTA0218 keskittyi hankkimaan toimialueen DPAPI-varmuuskopioavaimet ja kohdistamaan aktiivisen hakemiston tunnistetiedot NTDS.DIT-tiedoston saamiseksi. He yrittivät myös vaarantaa käyttäjien työasemat varastaakseen tallennettuja evästeitä, kirjautumistietoja ja DPAPI-avaimia.
Organisaatioita kehotetaan tarkkailemaan merkkejä sisäisestä sivuttaisliikkeestä.
CISA varoittaa CVE-2024-3400-haavoittuvuudesta
CVE-2024-3400 haavoittuvuuden ympärillä tapahtuva kehitys sai Yhdysvaltain kyberturvallisuus- ja infrastruktuuriturvaviraston (CISA) sisällyttämään puutteen tunnettujen hyödynnettyjen haavoittuvuuksien (KEV) luetteloonsa ja velvoittaen liittovaltion virastot käyttämään korjaustiedostoja mahdollisten uhkien lieventämiseksi.
Reunalaitteisiin kohdistaminen on edelleen suosittu hyökkäysvektori taitaville uhkatoimijoille, jotka tarvitsevat tarvittavaa aikaa ja resursseja uusien haavoittuvuuksien tutkimiseen.
Kun otetaan huomioon tällaisen haavoittuvuuden kehittämiseen ja hyödyntämiseen tarvittavat resurssit, kohdennettujen uhrien luonne ja osoitetut kyvyt Python-takaoven asentamisessa ja uhriverkkoihin tunkeutumisessa, on erittäin todennäköistä, että UTA0218 on valtion tukema uhkatekijä.
