CVE-2024-3400 Ranjivost
Od 26. ožujka 2024. akteri prijetnji iskorištavaju novootkrivenu ranjivost nultog dana u softveru Palo Alto Networks PAN-OS. Istraživači su ovu aktivnost nazvali Operation MidnightEclipse, a pripisuju je jednom neidentificiranom akteru prijetnje.
Ranjivost, poznata kao CVE-2024-3400 i ocijenjena s CVSS ocjenom 10,0, je greška ubrizgavanja naredbi. Omogućuje neautentificiranim hakerima da izvrše proizvoljan kod s root privilegijama na pogođenim vatrozidima. Naime, ovaj problem utječe samo na konfiguracije PAN-OS 10.2, PAN-OS 11.0 i PAN-OS 11.1 s omogućenim pristupnikom GlobalProtect i telemetrijom uređaja.
Sadržaj
Napadači iskorištavaju ranjivost CVE-2024-3400 za isporuku backdoor zlonamjernog softvera
Operacija MidnightEclipse uključuje iskorištavanje ranjivosti za uspostavljanje cron posla koji se izvršava svake minute, dohvaćanje naredbi s vanjskog poslužitelja ('172.233.228.93/policy' ili '172.233.228.93/patch') i njihovo pokretanje putem bash ljuske.
Napadači su navodno ručno kontrolirali popis za kontrolu pristupa (ACL) za Command-and-Control (C2) poslužitelj, osiguravajući da mu samo uređaj za komunikaciju može pristupiti.
Dok točna funkcija naredbe ostaje nejasna, sumnja se da služi kao mehanizam isporuke za backdoor temeljen na Pythonu koji su nazvali UPSTYLE od strane istraživača koji prate iskorištavanje CVE-2024-3400. Ovaj backdoor nalazi se na zasebnom poslužitelju ('144.172.79.92' i 'nhdata.s3-us-west-2.amazonaws.com').
Python datoteka dizajnirana je za stvaranje i izvršavanje druge Python skripte ('system.pth'), koja zauzvrat dekodira i pokreće ugrađenu backdoor komponentu odgovornu za izvršavanje naredbi aktera prijetnje. Rezultati ovih operacija bilježe se u datoteku pod nazivom 'sslvpn_ngx_error.log', dok druga datoteka pod nazivom 'bootstrap.min.css' bilježi dodatne aktivnosti.
Napadači nastoje prikupiti osjetljive informacije sa zaraženih uređaja
Značajan aspekt lanca napada je korištenje legitimnih datoteka povezanih s vatrozidom i za izdvajanje naredbi i za bilježenje rezultata:
- /var/log/pan/sslvpn_ngx_error.log
- /var/appweb/sslvpndocs/global-protect/portal/css/bootstrap.min.css
Za pisanje naredbi u zapisnik grešaka web poslužitelja, akter prijetnje stvara specifične mrežne zahtjeve koji ciljaju nepostojeću web stranicu s određenim uzorkom. Nakon toga, backdoor skenira log datoteku tražeći retke koji odgovaraju unaprijed definiranom regularnom izrazu ('img[([a-zA-Z0-9+/=]+)]') za dekodiranje i izvršavanje ugrađenih naredbi.
Osim toga, skripta stvara novu nit za izvršavanje funkcije pod nazivom 'restore'. Ova funkcija vraća izvorni sadržaj i vrijeme pristupa/izmjene datoteke bootstrap.min.css nakon odgode od 15 sekundi, učinkovito brišući tragove izlaza naredbi.
Čini se da je primarni cilj minimiziranje dokaza o izvršenju naredbi, zahtijevajući eksfiltraciju rezultata unutar 15 sekundi prije prepisivanja datoteke.
Istraživači su primijetili kako akter prijetnje daljinski iskorištava vatrozid kako bi uspostavio obrnutu ljusku, nabavio dodatne alate, probio se u interne mreže i na kraju izvukao podatke. Točan opseg kampanje ostaje neizvjestan. Glumac je nazvan UTA0218, prikazujući napredne sposobnosti i brzo izvršenje koje ukazuje na vještog aktera prijetnji s unaprijed definiranom strategijom za postizanje svojih ciljeva.
U početku se UTA0218 usredotočio na nabavu sigurnosnih DPAPI ključeva domene i ciljanje vjerodajnica aktivnog direktorija za dobivanje datoteke NTDS.DIT. Također su nastojali kompromitirati korisničke radne stanice kako bi ukrali spremljene kolačiće, podatke za prijavu i DPAPI ključeve.
Organizacijama se savjetuje da prate znakove unutarnjeg bočnog pomicanja.
CISA upozorava na ranjivost CVE-2024-3400
Razvoj događaja oko ranjivosti CVE-2024-3400 potaknuo je američku Agenciju za kibernetičku sigurnost i sigurnost infrastrukture (CISA) da uključi grešku u svoj katalog poznatih iskorištenih ranjivosti (KEV), nalažući federalnim agencijama da primjenjuju zakrpe za ublažavanje potencijalnih prijetnji.
Ciljanje rubnih uređaja ostaje omiljeni vektor napada za vješte aktere prijetnji koji trebaju potrebno vrijeme i resurse za istraživanje novih ranjivosti.
S obzirom na resurse potrebne za razvoj i iskorištavanje takve ranjivosti, prirodu ciljanih žrtava i demonstrirane sposobnosti instaliranja Python stražnjih vrata i infiltracije u žrtvene mreže, vrlo je vjerojatno da je UTA0218 akter prijetnje koju podupire država.
