CVE-2024-3400 ievainojamība
Kopš 2024. gada 26. marta draudu dalībnieki ir izmantojuši nesen atklātās nulles dienas ievainojamības priekšrocības Palo Alto Networks PAN-OS programmatūrā. Pētnieki nodēvējuši par operāciju Midnight Eclipse, šī darbība tiek attiecināta uz vienu neidentificētu apdraudējuma dalībnieku.
Ievainojamība, kas pazīstama kā CVE-2024-3400 un novērtēta ar CVSS punktu skaitu 10.0, ir komandu ievadīšanas kļūda. Tas ļauj neautentificētiem hakeriem izpildīt patvaļīgu kodu ar root tiesībām ietekmētajos ugunsmūros. Jo īpaši šī problēma skar tikai PAN-OS 10.2, PAN-OS 11.0 un PAN-OS 11.1 konfigurācijas ar iespējotu GlobalProtect vārteju un ierīces telemetriju.
Satura rādītājs
Uzbrucēji izmanto CVE-2024-3400 ievainojamību, lai nodrošinātu aizmugures durvju ļaunprātīgu programmatūru
Operācija MidnightEclipse ietver ievainojamības izmantošanu, lai izveidotu cron darbu, kas tiek izpildīts katru minūti, ienesot komandas no ārēja servera (“172.233.228.93/policy” vai “172.233.228.93/patch”) un palaižot tās, izmantojot bash čaulu.
Tiek ziņots, ka uzbrucēji ir manuāli kontrolējuši piekļuves kontroles sarakstu (ACL) Command-and-Control (C2) serverim, nodrošinot, ka tam var piekļūt tikai saziņas ierīce.
Lai gan precīza komandas funkcija joprojām nav skaidra, tiek uzskatīts, ka pētnieki, kas izseko CVE-2024-3400 izmantošanu, kalpos kā piegādes mehānisms Python balstītai aizmugures durvīm, kas nodēvētas par UPSTYLE. Šīs aizmugures durvis tiek mitinātas atsevišķā serverī (“144.172.79.92” un “nhdata.s3-us-west-2.amazonaws.com”).
Python fails ir paredzēts, lai izveidotu un izpildītu citu Python skriptu (“system.pth”), kas savukārt atkodē un palaiž iegulto aizmugures durvju komponentu, kas ir atbildīgs par apdraudējuma dalībnieku komandu izpildi. Šo darbību rezultāti tiek reģistrēti failā ar nosaukumu "sslvpn_ngx_error.log", savukārt citā failā ar nosaukumu "bootstrap.min.css" tiek reģistrētas papildu darbības.
Uzbrucēji cenšas iegūt sensitīvu informāciju no inficētām ierīcēm
Ievērojams uzbrukuma ķēdes aspekts ir ar ugunsmūri saistīto likumīgo failu izmantošana gan komandu izvilkšanai, gan reģistrēšanas rezultātiem:
- /var/log/pan/sslvpn_ngx_error.log
- /var/appweb/sslvpndocs/global-protect/portal/css/bootstrap.min.css
Lai rakstītu komandas tīmekļa servera kļūdu žurnālā, apdraudējuma dalībnieks izstrādā konkrētus tīkla pieprasījumus, kas mērķēti uz neesošu tīmekļa lapu ar noteiktu modeli. Pēc tam aizmugures durvis skenē žurnāla failā rindas, kas atbilst iepriekš noteiktai regulārajai izteiksmei ('img[([a-zA-Z0-9+/=]+)]), lai atšifrētu un izpildītu iegultās komandas.
Turklāt skripts izveido jaunu pavedienu, lai izpildītu funkciju ar nosaukumu "atjaunot". Šī funkcija pēc 15 sekunžu aizkaves atjauno sākotnējo saturu un faila bootstrap.min.css piekļuves/modificēto laiku, efektīvi dzēšot komandu izvades pēdas.
Šķiet, ka primārais mērķis ir samazināt komandas izpildes pierādījumus, pieprasot izfiltrēt rezultātus 15 sekunžu laikā pirms faila pārrakstīšanas.
Pētnieki ir novērojuši, ka draudu aktieris attālināti izmanto ugunsmūri, lai izveidotu reverso apvalku, iegūtu papildu rīkus, iekļūtu iekšējos tīklos un galu galā iegūtu datus. Precīzs kampaņas apjoms joprojām nav skaidrs. Aktieris ir nosaukts par UTA0218, demonstrējot progresīvas spējas un ātru izpildi, kas liecina par prasmīgu apdraudējuma dalībnieku ar iepriekš noteiktu stratēģiju savu mērķu sasniegšanai.
Sākotnēji UTA0218 koncentrējās uz domēna dublējuma DPAPI atslēgu iegūšanu un mērķauditorijas atlasi pēc aktīvo direktoriju akreditācijas datiem, lai iegūtu failu NTDS.DIT. Viņi arī mēģināja apdraudēt lietotāju darbstacijas, lai nozagtu saglabātos sīkfailus, pieteikšanās datus un DPAPI atslēgas.
Organizācijām ieteicams uzraudzīt iekšējās sānu kustības pazīmes.
CISA brīdina par CVE-2024-3400 ievainojamību
Notikumi saistībā ar ievainojamību CVE-2024-3400 mudināja ASV Kiberdrošības un infrastruktūras drošības aģentūru (CISA) iekļaut šo trūkumu zināmo izmantoto ievainojamību (KEV) katalogā, uzdodot federālajām aģentūrām lietot ielāpus iespējamo apdraudējumu mazināšanai.
Mērķtiecīgas ierīces joprojām ir iecienīts uzbrukuma līdzeklis prasmīgiem apdraudējuma dalībniekiem, kuriem nepieciešams laiks un resursi, lai izpētītu jaunas ievainojamības.
Ņemot vērā resursus, kas nepieciešami, lai izstrādātu un izmantotu šādu ievainojamību, mērķa upuru būtību un demonstrētās spējas instalēt Python aizmugures durvis un iefiltrēties upuru tīklos, ir ļoti iespējams, ka UTA0218 ir valsts atbalstīts apdraudējums.
