פגיעות CVE-2024-3400
מאז 26 במרץ 2024, שחקני איומים מנצלים פגיעות של יום אפס לאחרונה בתוכנת Palo Alto Networks PAN-OS. הפעילות הזו, שזכתה לכינוי מבצע חצות ליקוי חמה, מיוחסת לשחקן איום אחד לא מזוהה.
הפגיעות, המכונה CVE-2024-3400 ומדורגת עם ציון CVSS של 10.0, היא פגם בהזרקת פקודה. זה מאפשר להאקרים לא מאומתים להפעיל קוד שרירותי עם הרשאות שורש בחומות אש מושפעות. יש לציין כי בעיה זו משפיעה רק על תצורות PAN-OS 10.2, PAN-OS 11.0 ו-PAN-OS 11.1 עם הפעלת שער GlobalProtect וטלמטריית התקן.
תוכן העניינים
תוקפים מנצלים את הפגיעות של CVE-2024-3400 כדי לספק תוכנה זדונית בדלת אחורית
מבצע MidnightEclipse כרוך במינוף הפגיעות להקמת עבודת cron שמבצעת כל דקה, שליפת פקודות משרת חיצוני ('172.233.228.93/policy' או '172.233.228.93/patch') והרצתן דרך מעטפת ה-bash.
לפי הדיווח, התוקפים שלטו ידנית ברשימת בקרת גישה (ACL) עבור שרת הפקודה והבקרה (C2), מה שמבטיח שרק המכשיר המתקשר יכול לגשת אליו.
למרות שהפונקציה המדויקת של הפקודה עדיין לא ברורה, היא על פי החשד משמשת כמנגנון מסירה לדלת אחורית מבוססת Python המכונה UPSTYLE על ידי חוקרים העוקבים אחר הניצול של CVE-2024-3400. הדלת האחורית הזו מתארחת בשרת נפרד ('144.172.79.92' ו-'nhdata.s3-us-west-2.amazonaws.com').
קובץ Python נועד ליצור ולהפעיל סקריפט אחר של Python ('system.pth'), שבתורו מפענח ומשגר את רכיב הדלת האחורית המוטבע האחראי על ביצוע הפקודות של שחקן האיום. התוצאות של פעולות אלו נרשמות בקובץ בשם 'sslvpn_ngx_error.log', בעוד שקובץ אחר בשם 'bootstrap.min.css' מתעד פעילות נוספת.
תוקפים מבקשים לאסוף מידע רגיש ממכשירים נגועים
היבט בולט בשרשרת ההתקפה הוא השימוש בקבצים לגיטימיים הקשורים לחומת האש הן לחילוץ פקודות והן לרישום תוצאות:
- /var/log/pan/sslvpn_ngx_error.log
- /var/appweb/sslvpndocs/global-protect/portal/css/bootstrap.min.css
כדי לכתוב פקודות ליומן השגיאות של שרת האינטרנט, שחקן האיום יוצר בקשות רשת ספציפיות המכוונות לדף אינטרנט לא קיים עם דפוס מסוים. לאחר מכן, הדלת האחורית סורקת את קובץ היומן עבור שורות התואמות לביטוי רגולרי מוגדר מראש ('img[([a-zA-Z0-9+/=]+)]') כדי לפענח ולבצע פקודות מוטבעות.
בנוסף, הסקריפט מוליד שרשור חדש לביצוע פונקציה בשם 'שחזור'. פונקציה זו משחזרת את התוכן המקורי ואת זמני הגישה/השינוי של הקובץ bootstrap.min.css לאחר עיכוב של 15 שניות, ולמעשה מוחקת עקבות של פלטי פקודה.
נראה שהמטרה העיקרית היא מזעור עדויות לביצוע פקודה, המחייבת הוצאת תוצאות תוך 15 שניות לפני החלפת הקובץ.
חוקרים צפו בשחקן האיום מנצל מרחוק את חומת האש כדי ליצור מעטפת הפוכה, לרכוש כלים נוספים, לחדור לרשתות פנימיות ובסופו של דבר לחלץ נתונים. ההיקף המדויק של הקמפיין עדיין לא ברור. השחקן זכה לכינוי UTA0218, המציג יכולות מתקדמות וביצוע מהיר המעידים על שחקן איום מיומן עם אסטרטגיה מוגדרת מראש להשגת מטרותיו.
בתחילה, UTA0218 התמקדה ברכישת מפתחות DPAPI לגיבוי תחום ומיקוד אישורי ספרייה פעילה להשגת קובץ NTDS.DIT. הם גם ביקשו לסכן תחנות עבודה של משתמשים כדי לגנוב קובצי Cookie שמורים, נתוני כניסה ומפתחות DPAPI.
מומלץ לארגונים לעקוב אחר סימנים של תנועה צדדית פנימית.
CISA מזהירה מפני הפגיעות של CVE-2024-3400
ההתפתחויות סביב פגיעות ה-CVE-2024-3400 גרמו לסוכנות הביטחון הסייבר והתשתית האמריקאית (CISA) לכלול את הפגם בקטלוג ה- Known Exploited Vulnerabilities (KEV) שלה, המחייבת סוכנויות פדרליות להחיל תיקונים להפחתת איומים פוטנציאליים.
התמקדות במכשירי קצה נותרה וקטור התקפה מועדף עבור גורמי איומים מיומנים שזקוקים לזמן ולמשאבים הדרושים כדי לחקור נקודות תורפה חדשות.
בהתחשב במשאבים הנדרשים לפיתוח ולניצול פגיעות כזו, אופי הקורבנות הממוקדים והיכולות המוכחות בהתקנת הדלת האחורית של Python וחדירת רשתות קורבנות, סביר מאוד להניח ש-UTA0218 הוא גורם איום הנתמך על ידי המדינה.
