CVE-2024-3400 biztonsági rés
2024. március 26. óta a fenyegetések szereplői kihasználják a Palo Alto Networks PAN-OS szoftverének újonnan feltárt nulladik napi sebezhetőségét. Ezt a tevékenységet a kutatók Midnight Eclipse-nek nevezték el, és egyetlen azonosítatlan fenyegetés szereplőjének tulajdonítják.
A CVE-2024-3400 néven ismert és 10.0-s CVSS-pontszámmal besorolt biztonsági rés parancsbeillesztési hiba. Lehetővé teszi a nem hitelesített hackerek számára, hogy tetszőleges kódot hajtsanak végre root jogosultságokkal az érintett tűzfalakon. Ez a probléma csak a PAN-OS 10.2, PAN-OS 11.0 és PAN-OS 11.1 konfigurációkat érinti, amelyeknél engedélyezve van a GlobalProtect átjáró és az eszköztelemetria.
Tartalomjegyzék
A támadók a CVE-2024-3400 biztonsági rést kihasználva hátsó ajtó rosszindulatú programokat juttatnak el
A MidnightEclipse művelet magában foglalja a sérülékenység kihasználását egy percenként lefutó cron feladat létrehozására, a parancsok lekérésére egy külső szerverről („172.233.228.93/policy” vagy „172.233.228.93/patch”), és a bash shell-en keresztüli futtatására.
A támadók állítólag manuálisan vezérelték a Command-and-Control (C2) szerver hozzáférés-vezérlési listáját (ACL), biztosítva, hogy csak a kommunikáló eszköz férhessen hozzá.
Noha a parancs pontos funkciója továbbra is tisztázatlan, feltételezhető, hogy a CVE-2024-3400 kiaknázását nyomon követő kutatók egy Python-alapú hátsó ajtó továbbítási mechanizmusaként szolgálnak, amelyet UPSTYLE-nak neveztek el. Ez a hátsó ajtó egy külön szerveren található ("144.172.79.92" és "nhdata.s3-us-west-2.amazonaws.com").
A Python-fájlt egy másik Python-szkript ("system.pth") létrehozására és végrehajtására tervezték, amely viszont dekódolja és elindítja a beágyazott hátsó ajtó-összetevőt, amely a fenyegetés szereplőinek parancsainak végrehajtásáért felelős. Ezeknek a műveleteknek az eredményei egy „sslvpn_ngx_error.log” nevű fájlba kerülnek naplózásra, míg egy másik „bootstrap.min.css” fájl további tevékenységeket rögzít.
A támadók érzékeny információkat akarnak gyűjteni a fertőzött eszközökről
A támadási lánc egyik figyelemre méltó aspektusa a tűzfalhoz társított legitim fájlok felhasználása a parancsok kicsomagolásához és az eredmények naplózásához:
- /var/log/pan/sslvpn_ngx_error.log
- /var/appweb/sslvpndocs/global-protect/portal/css/bootstrap.min.css
A webszerver hibanaplójába parancsok írásához a fenyegetés szereplője meghatározott hálózati kéréseket hoz létre, amelyek egy nem létező weboldalt céloznak meg egy adott mintával. Ezt követően a hátsó ajtó átvizsgálja a naplófájlt egy előre definiált reguláris kifejezésnek ('img[([a-zA-Z0-9+/=]+)]') megfelelő sorok után kutatva a beágyazott parancsok dekódolásához és végrehajtásához.
Ezenkívül a szkript egy új szálat hoz létre, hogy végrehajtsa a „restore” nevű függvényt. Ez a funkció 15 másodperces késleltetés után visszaállítja a bootstrap.min.css fájl eredeti tartalmát és hozzáférési/módosítási idejét, hatékonyan törli a parancskimenetek nyomait.
Úgy tűnik, hogy az elsődleges cél a parancsvégrehajtás bizonyítékainak minimalizálása, ami megköveteli az eredmények kiszűrését a fájl felülírása előtt 15 másodpercen belül.
A kutatók megfigyelték, hogy a fenyegetett szereplő távolról kihasználja a tűzfalat fordított héj létrehozására, további eszközök beszerzésére, belső hálózatokba való behatolásra, és végül adatok kinyerésére. A kampány pontos hatóköre továbbra is bizonytalan. A színészt UTA0218-nak nevezték el, amely fejlett képességeket és gyors végrehajtást mutat be, ami egy képzett fenyegetettségi szereplőre utal, akinek előre meghatározott stratégiája van céljai eléréséhez.
Kezdetben az UTA0218 a tartomány biztonsági mentési DPAPI-kulcsainak megszerzésére és az aktív könyvtár hitelesítő adatainak megcélzására összpontosított az NTDS.DIT fájl beszerzéséhez. Arra is törekedtek, hogy feltörjék a felhasználói munkaállomásokat, hogy ellopják a mentett cookie-kat, bejelentkezési adatokat és DPAPI-kulcsokat.
A szervezeteknek azt tanácsoljuk, hogy figyeljék a belső oldalirányú mozgás jeleit.
A CISA figyelmeztet a CVE-2024-3400 biztonsági résre
A CVE-2024-3400 sebezhetőség körüli fejlemények arra késztették az Egyesült Államok Kiberbiztonsági és Infrastruktúra-biztonsági Ügynökségét (CISA), hogy a hibát felvegye ismert kihasznált sebezhetőségek (KEV) katalógusába, és a szövetségi ügynökségeket arra utasította, hogy javítsanak a potenciális fenyegetések mérséklésére.
Az élvonalbeli eszközök megcélzása továbbra is kedvelt támadási vektor a szakképzett fenyegetési szereplők számára, akiknek a szükséges időre és erőforrásokra van szükségük az új sebezhetőségek felfedezéséhez.
Tekintettel az ilyen sérülékenység fejlesztéséhez és kihasználásához szükséges erőforrásokra, a megcélzott áldozatok természetére, valamint a Python hátsó ajtó telepítésére és az áldozati hálózatokba való beszivárgásra vonatkozó bizonyított képességekre, nagyon valószínű, hogy az UTA0218 egy államilag támogatott fenyegetés.