Multi-License Discount Quote
Veszély-adatbázis Vulnerability CVE-2024-3400 biztonsági rés

CVE-2024-3400 biztonsági rés

Mezo -ra Vulnerability-ben
Fordítás ide:
Magyar

2024. március 26. óta a fenyegetések szereplői kihasználják a Palo Alto Networks PAN-OS szoftverének újonnan feltárt nulladik napi sebezhetőségét. Ezt a tevékenységet a kutatók Midnight Eclipse-nek nevezték el, és egyetlen azonosítatlan fenyegetés szereplőjének tulajdonítják.

A CVE-2024-3400 néven ismert és 10.0-s CVSS-pontszámmal besorolt biztonsági rés parancsbeillesztési hiba. Lehetővé teszi a nem hitelesített hackerek számára, hogy tetszőleges kódot hajtsanak végre root jogosultságokkal az érintett tűzfalakon. Ez a probléma csak a PAN-OS 10.2, PAN-OS 11.0 és PAN-OS 11.1 konfigurációkat érinti, amelyeknél engedélyezve van a GlobalProtect átjáró és az eszköztelemetria.

A támadók a CVE-2024-3400 biztonsági rést kihasználva hátsó ajtó rosszindulatú programokat juttatnak el

A MidnightEclipse művelet magában foglalja a sérülékenység kihasználását egy percenként lefutó cron feladat létrehozására, a parancsok lekérésére egy külső szerverről („172.233.228.93/policy” vagy „172.233.228.93/patch”), és a bash shell-en keresztüli futtatására.

A támadók állítólag manuálisan vezérelték a Command-and-Control (C2) szerver hozzáférés-vezérlési listáját (ACL), biztosítva, hogy csak a kommunikáló eszköz férhessen hozzá.

Noha a parancs pontos funkciója továbbra is tisztázatlan, feltételezhető, hogy a CVE-2024-3400 kiaknázását nyomon követő kutatók egy Python-alapú hátsó ajtó továbbítási mechanizmusaként szolgálnak, amelyet UPSTYLE-nak neveztek el. Ez a hátsó ajtó egy külön szerveren található ("144.172.79.92" és "nhdata.s3-us-west-2.amazonaws.com").

A Python-fájlt egy másik Python-szkript ("system.pth") létrehozására és végrehajtására tervezték, amely viszont dekódolja és elindítja a beágyazott hátsó ajtó-összetevőt, amely a fenyegetés szereplőinek parancsainak végrehajtásáért felelős. Ezeknek a műveleteknek az eredményei egy „sslvpn_ngx_error.log” nevű fájlba kerülnek naplózásra, míg egy másik „bootstrap.min.css” fájl további tevékenységeket rögzít.

A támadók érzékeny információkat akarnak gyűjteni a fertőzött eszközökről

A támadási lánc egyik figyelemre méltó aspektusa a tűzfalhoz társított legitim fájlok felhasználása a parancsok kicsomagolásához és az eredmények naplózásához:

  • /var/log/pan/sslvpn_ngx_error.log
  • /var/appweb/sslvpndocs/global-protect/portal/css/bootstrap.min.css

A webszerver hibanaplójába parancsok írásához a fenyegetés szereplője meghatározott hálózati kéréseket hoz létre, amelyek egy nem létező weboldalt céloznak meg egy adott mintával. Ezt követően a hátsó ajtó átvizsgálja a naplófájlt egy előre definiált reguláris kifejezésnek ('img[([a-zA-Z0-9+/=]+)]') megfelelő sorok után kutatva a beágyazott parancsok dekódolásához és végrehajtásához.

Ezenkívül a szkript egy új szálat hoz létre, hogy végrehajtsa a „restore” nevű függvényt. Ez a funkció 15 másodperces késleltetés után visszaállítja a bootstrap.min.css fájl eredeti tartalmát és hozzáférési/módosítási idejét, hatékonyan törli a parancskimenetek nyomait.

Úgy tűnik, hogy az elsődleges cél a parancsvégrehajtás bizonyítékainak minimalizálása, ami megköveteli az eredmények kiszűrését a fájl felülírása előtt 15 másodpercen belül.

A kutatók megfigyelték, hogy a fenyegetett szereplő távolról kihasználja a tűzfalat fordított héj létrehozására, további eszközök beszerzésére, belső hálózatokba való behatolásra, és végül adatok kinyerésére. A kampány pontos hatóköre továbbra is bizonytalan. A színészt UTA0218-nak nevezték el, amely fejlett képességeket és gyors végrehajtást mutat be, ami egy képzett fenyegetettségi szereplőre utal, akinek előre meghatározott stratégiája van céljai eléréséhez.

Kezdetben az UTA0218 a tartomány biztonsági mentési DPAPI-kulcsainak megszerzésére és az aktív könyvtár hitelesítő adatainak megcélzására összpontosított az NTDS.DIT fájl beszerzéséhez. Arra is törekedtek, hogy feltörjék a felhasználói munkaállomásokat, hogy ellopják a mentett cookie-kat, bejelentkezési adatokat és DPAPI-kulcsokat.

A szervezeteknek azt tanácsoljuk, hogy figyeljék a belső oldalirányú mozgás jeleit.

A CISA figyelmeztet a CVE-2024-3400 biztonsági résre

A CVE-2024-3400 sebezhetőség körüli fejlemények arra késztették az Egyesült Államok Kiberbiztonsági és Infrastruktúra-biztonsági Ügynökségét (CISA), hogy a hibát felvegye ismert kihasznált sebezhetőségek (KEV) katalógusába, és a szövetségi ügynökségeket arra utasította, hogy javítsanak a potenciális fenyegetések mérséklésére.

Az élvonalbeli eszközök megcélzása továbbra is kedvelt támadási vektor a szakképzett fenyegetési szereplők számára, akiknek a szükséges időre és erőforrásokra van szükségük az új sebezhetőségek felfedezéséhez.

Tekintettel az ilyen sérülékenység fejlesztéséhez és kihasználásához szükséges erőforrásokra, a megcélzott áldozatok természetére, valamint a Python hátsó ajtó telepítésére és az áldozati hálózatokba való beszivárgásra vonatkozó bizonyított képességekre, nagyon valószínű, hogy az UTA0218 egy államilag támogatott fenyegetés.

Felkapott

CVE-2024-3094 biztonsági rés (XZ Backdoor)

Vulnerability, Backdoors
Biztonsági elemzők a közelmúltban felfedeztek egy kritikus sérülékenységet, amely potenciálisan pusztító következményekkel járhat. Egy sürgős biztonsági figyelmeztetés szerint a széles körben használt adattömörítő eszköz, az XZ Utils (korábbi nevén LZMA Utils) két iterációját feltörték rosszindulatú kóddal. Ez a kód lehetővé teszi az illetéktelen távoli hozzáférést az érintett rendszerekhez. Ez...

Legnézettebb

Betöltés...