CVE-2024-3400 Vulnerability
Desde 26 de março de 2024 os agentes de ameaças têm aproveitado uma vulnerabilidade de dia zero recentemente revelada no software PAN-OS da Palo Alto Networks. Apelidada de Operação MidnightEclipse pelos pesquisadores, esta atividade é atribuída a um único ator de ameaça não identificado.
A vulnerabilidade, conhecida como CVE-2024-3400 e avaliada com pontuação CVSS de 10,0, é uma falha de injeção de comando. Ele permite que hackers não autenticados executem código arbitrário com privilégios de root nos firewalls afetados. Notavelmente, esse problema afeta apenas as configurações PAN-OS 10.2, PAN-OS 11.0 e PAN-OS 11.1 com gateway GlobalProtect e telemetria de dispositivo habilitadas.
Índice
Os Invasores Exploram a Vulnerabilidade CVE-2024-3400 para Entregar um Malware Backdoor
A Operação MidnightEclipse envolve aproveitar a vulnerabilidade para estabelecer um cron job que é executado a cada minuto, buscando comandos de um servidor externo ('172.233.228.93/policy' ou '172.233.228.93/patch') e executando-os por meio do shell bash.
Os invasores teriam controlado manualmente uma lista de controle de acesso (ACL) para o servidor de Comando e Controle (C2), garantindo que apenas o dispositivo de comunicação pudesse acessá-lo.
Embora a função precisa do comando ainda não esteja clara, suspeita-se que ele sirva como um mecanismo de entrega para um backdoor baseado em Python chamado UPSTYLE por pesquisadores que rastreiam a exploração do CVE-2024-3400. Este backdoor está hospedado em um servidor separado ('144.172.79.92' e 'nhdata.s3-us-west-2.amazonaws.com').
O arquivo Python foi projetado para criar e executar outro script Python ('system.pth'), que por sua vez decodifica e inicia o componente backdoor incorporado responsável por executar os comandos do agente da ameaça. Os resultados dessas operações são registrados em um arquivo chamado ‘sslvpn_ngx_error.log’, enquanto outro arquivo chamado ‘bootstrap.min.css’ registra atividades adicionais.
Os Atacantes Procuram Coletar Informações Confidenciais nos Dispositivos Infectados
Um aspecto notável da cadeia de ataque é a utilização de arquivos legítimos associados ao firewall para extrair comandos e registrar resultados:
- /var/log/pan/sslvpn_ngx_error.log
- /var/appweb/sslvpndocs/global-protect/portal/css/bootstrap.min.css
Para gravar comandos no log de erros do servidor Web, o agente da ameaça elabora solicitações de rede específicas direcionadas a uma página da Web inexistente com um padrão específico. Posteriormente, o backdoor verifica o arquivo de log em busca de linhas que correspondam a uma expressão regular predefinida ('img[([a-zA-Z0-9+/=]+)]') para decodificar e executar comandos incorporados.
Além disso, o script gera um novo thread para executar uma função chamada ‘restauração’. Esta função restaura o conteúdo original e os tempos de acesso/modificação do arquivo bootstrap.min.css após um atraso de 15 segundos, apagando efetivamente rastros de saídas de comando.
O objetivo principal parece ser minimizar as evidências de execução de comandos, exigindo a exfiltração dos resultados 15 segundos antes da substituição do arquivo.
Os pesquisadores observaram o agente da ameaça explorando remotamente o firewall para estabelecer um shell reverso, adquirir ferramentas adicionais, penetrar em redes internas e, por fim, extrair dados. O escopo exato da campanha permanece incerto. O ator foi apelidado de UTA0218, apresentando capacidades avançadas e execução rápida, indicativas de um ator de ameaça qualificado com uma estratégia predefinida para atingir seus objetivos.
Inicialmente, o UTA0218 se concentrou na aquisição de chaves DPAPI de backup de domínio e no direcionamento de credenciais do Active Directory para obter o arquivo NTDS.DIT. Eles também procuraram comprometer as estações de trabalho dos usuários para roubar cookies salvos, dados de login e chaves DPAPI.
As organizações são aconselhadas a monitorar sinais de movimento lateral interno.
A CISA Alerta sobre a Vulnerabilidade CVE-2024-3400
Os desenvolvimentos em torno da vulnerabilidade CVE-2024-3400 levaram a Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) a incluir a falha em seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), obrigando as agências federais a aplicar patches para mitigar ameaças potenciais.
Visar dispositivos de ponta continua sendo um vetor de ataque preferido para agentes de ameaças qualificados que precisam do tempo e dos recursos necessários para explorar novas vulnerabilidades.
Dados os recursos necessários para desenvolver e explorar tal vulnerabilidade, a natureza das vítimas visadas e as capacidades demonstradas na instalação do backdoor Python e na infiltração nas redes das vítimas, é altamente provável que o UTA0218 seja um ator de ameaça apoiado pelo Estado.
