Vulnerabilità CVE-2024-3400
Dal 26 marzo 2024, gli autori delle minacce hanno approfittato di una vulnerabilità zero-day recentemente rivelata nel software PAN-OS di Palo Alto Networks. Soprannominata Operazione MidnightEclipse dai ricercatori, questa attività è attribuita a un singolo attore di minacce non identificato.
La vulnerabilità, nota come CVE-2024-3400 e valutata con un punteggio CVSS di 10,0, è un difetto di command injection. Consente agli hacker non autenticati di eseguire codice arbitrario con privilegi di root sui firewall interessati. In particolare, questo problema riguarda solo le configurazioni PAN-OS 10.2, PAN-OS 11.0 e PAN-OS 11.1 con gateway GlobalProtect e telemetria del dispositivo abilitati.
Sommario
Gli aggressori sfruttano la vulnerabilità CVE-2024-3400 per diffondere malware backdoor
L'operazione MidnightEclipse prevede lo sfruttamento della vulnerabilità per stabilire un processo cron che viene eseguito ogni minuto, recuperando comandi da un server esterno ("172.233.228.93/policy" o "172.233.228.93/patch") ed eseguendoli tramite la shell bash.
Secondo quanto riferito, gli aggressori hanno controllato manualmente un elenco di controllo degli accessi (ACL) per il server Command-and-Control (C2), garantendo che solo il dispositivo comunicante possa accedervi.
Sebbene la funzione precisa del comando rimanga poco chiara, si sospetta che serva come meccanismo di consegna per una backdoor basata su Python denominata UPSTYLE dai ricercatori che monitorano lo sfruttamento di CVE-2024-3400. Questa backdoor è ospitata su un server separato ("144.172.79.92" e "nhdata.s3-us-west-2.amazonaws.com").
Il file Python è progettato per creare ed eseguire un altro script Python ("system.pth"), che a sua volta decodifica e avvia il componente backdoor incorporato responsabile dell'esecuzione dei comandi dell'attore della minaccia. I risultati di queste operazioni vengono registrati in un file denominato "sslvpn_ngx_error.log", mentre un altro file denominato "bootstrap.min.css" registra attività aggiuntive.
Gli aggressori cercano di raccogliere informazioni sensibili dai dispositivi infetti
Un aspetto notevole della catena di attacco è l'utilizzo di file legittimi associati al firewall sia per l'estrazione dei comandi che per la registrazione dei risultati:
- /var/log/pan/sslvpn_ngx_error.log
- /var/appweb/sslvpndocs/global-protect/portal/css/bootstrap.min.css
Per scrivere comandi nel registro degli errori del server Web, l'autore della minaccia crea richieste di rete specifiche destinate a una pagina Web inesistente con uno schema particolare. Successivamente, la backdoor esegue la scansione del file di registro per le righe che corrispondono a un'espressione regolare predefinita ('img[([a-zA-Z0-9+/=]+)]') per decodificare ed eseguire comandi incorporati.
Inoltre, lo script genera un nuovo thread per eseguire una funzione denominata "ripristina". Questa funzione ripristina il contenuto originale e gli orari di accesso/modifica del file bootstrap.min.css dopo un ritardo di 15 secondi, cancellando di fatto le tracce degli output dei comandi.
L'obiettivo principale sembra essere quello di ridurre al minimo le prove dell'esecuzione del comando, richiedendo l'estrazione dei risultati entro 15 secondi prima della sovrascrittura del file.
I ricercatori hanno osservato l’autore della minaccia sfruttare da remoto il firewall per stabilire una shell inversa, acquisire strumenti aggiuntivi, penetrare nelle reti interne e infine estrarre dati. La portata esatta della campagna rimane incerta. L'attore è stato soprannominato UTA0218, dimostrando capacità avanzate e rapida esecuzione indicative di un abile attore di minacce con una strategia predefinita per raggiungere i propri obiettivi.
Inizialmente, UTA0218 si concentrava sull'acquisizione delle chiavi DPAPI di backup del dominio e sul targeting delle credenziali di Active Directory per ottenere il file NTDS.DIT. Hanno anche cercato di compromettere le postazioni di lavoro degli utenti per rubare cookie salvati, dati di accesso e chiavi DPAPI.
Si consiglia alle organizzazioni di monitorare i segni di movimento laterale interno.
CISA avverte della vulnerabilità CVE-2024-3400
Gli sviluppi relativi alla vulnerabilità CVE-2024-3400 hanno spinto la Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti a includere la falla nel suo catalogo delle vulnerabilità sfruttate note (KEV), incaricando le agenzie federali di applicare patch per mitigare potenziali minacce.
Prendere di mira i dispositivi edge rimane un vettore di attacco preferito dagli autori di minacce esperti che necessitano del tempo e delle risorse necessari per esplorare nuove vulnerabilità.
Date le risorse necessarie per sviluppare e sfruttare tale vulnerabilità, la natura delle vittime prese di mira e le capacità dimostrate nell’installazione della backdoor Python e nell’infiltrazione nelle reti delle vittime, è altamente probabile che UTA0218 sia un attore di minacce sostenuto dallo stato.
