Уязвимость CVE-2024-3400
С 26 марта 2024 года злоумышленники пользуются недавно обнаруженной уязвимостью нулевого дня в программном обеспечении PAN-OS компании Palo Alto Networks. Эта деятельность, названная исследователями Operation MidnightEclipse, приписывается одному неопознанному злоумышленнику.
Уязвимость, известная как CVE-2024-3400 и имеющая рейтинг CVSS 10,0, представляет собой недостаток внедрения команд. Это позволяет хакерам, не прошедшим проверку подлинности, выполнять произвольный код с правами root на затронутых брандмауэрах. Примечательно, что эта проблема затрагивает только конфигурации PAN-OS 10.2, PAN-OS 11.0 и PAN-OS 11.1 с включенным шлюзом GlobalProtect и телеметрией устройства.
Оглавление
Злоумышленники используют уязвимость CVE-2024-3400 для доставки вредоносного ПО с бэкдором
Операция MidnightEclipse предполагает использование уязвимости для создания задания cron, которое выполняется каждую минуту, извлекая команды с внешнего сервера («172.233.228.93/policy» или «172.233.228.93/patch») и запуская их через оболочку bash.
Сообщается, что злоумышленники вручную управляли списком управления доступом (ACL) для сервера управления и контроля (C2), гарантируя, что только взаимодействующее устройство может получить к нему доступ.
Хотя точная функция команды остается неясной, исследователи, отслеживающие эксплуатацию CVE-2024-3400, предполагают, что она служит механизмом доставки бэкдора на основе Python, получившего название UPSTYLE. Этот бэкдор размещен на отдельном сервере (144.172.79.92 и nhdata.s3-us-west-2.amazonaws.com).
Файл Python предназначен для создания и выполнения другого сценария Python («system.pth»), который, в свою очередь, декодирует и запускает встроенный компонент бэкдора, отвечающий за выполнение команд злоумышленника. Результаты этих операций записываются в файл с именем «sslvpn_ngx_error.log», а другой файл с именем «bootstrap.min.css» записывает дополнительные действия.
Злоумышленники стремятся получить конфиденциальную информацию с зараженных устройств
Примечательным аспектом цепочки атак является использование законных файлов, связанных с брандмауэром, как для извлечения команд, так и для регистрации результатов:
- /var/log/pan/sslvpn_ngx_error.log
- /var/appweb/sslvpndocs/global-protect/portal/css/bootstrap.min.css
Чтобы записать команды в журнал ошибок веб-сервера, злоумышленник создает определенные сетевые запросы, нацеленные на несуществующую веб-страницу с определенным шаблоном. Впоследствии бэкдор сканирует файл журнала на наличие строк, соответствующих предопределенному регулярному выражению ('img[([a-zA-Z0-9+/=]+)]'), чтобы декодировать и выполнять встроенные команды.
Кроме того, сценарий создает новый поток для выполнения функции с именем «восстановление». Эта функция восстанавливает исходное содержимое и время доступа/изменения файла bootstrap.min.css после 15-секундной задержки, эффективно стирая следы вывода команд.
Основная цель, судя по всему, состоит в том, чтобы свести к минимуму свидетельства выполнения команд, требуя эксфильтрации результатов в течение 15 секунд перед перезаписью файла.
Исследователи наблюдали, как злоумышленник удаленно использует брандмауэр для установки обратной оболочки, приобретения дополнительных инструментов, проникновения во внутренние сети и, в конечном итоге, извлечения данных. Точные масштабы кампании остаются неопределенными. Злоумышленник получил название UTA0218, демонстрируя расширенные возможности и быстрое выполнение действий, что свидетельствует об опытном злоумышленнике с заранее определенной стратегией для достижения своих целей.
Первоначально UTA0218 был сосредоточен на получении резервных ключей DPAPI домена и использовании учетных данных активного каталога для получения файла NTDS.DIT. Они также пытались скомпрометировать рабочие станции пользователей, чтобы украсть сохраненные файлы cookie, данные для входа и ключи DPAPI.
Организациям рекомендуется следить за признаками внутреннего бокового движения.
CISA предупреждает об уязвимости CVE-2024-3400
События вокруг уязвимости CVE-2024-3400 побудили Агентство кибербезопасности и безопасности инфраструктуры США (CISA) включить уязвимость в свой каталог известных эксплуатируемых уязвимостей (KEV), обязывая федеральные агентства применять исправления для смягчения потенциальных угроз.
Нацеливание на периферийные устройства остается излюбленным вектором атаки для опытных злоумышленников, которым необходимо время и ресурсы для изучения новых уязвимостей.
Учитывая ресурсы, необходимые для разработки и использования такой уязвимости, характер целевых жертв и продемонстрированные возможности установки бэкдора Python и проникновения в сети жертв, весьма вероятно, что UTA0218 является поддерживаемым государством субъектом угрозы.
