ЦВЕ-2024-3400 Рањивост
Од 26. марта 2024. актери претњи користе новооткривену рањивост нултог дана у софтверу Пало Алто Нетворкс ПАН-ОС. Истраживачи су назвали Операција Миднигхт Ецлипсе, ова активност се приписује једном неидентификованом актеру претње.
Рањивост, позната као ЦВЕ-2024-3400 и оцењена са ЦВСС оценом 10,0, представља грешку у убризгавању команде. Омогућава хакерима без аутентификације да изврше произвољан код са роот привилегијама на погођеним заштитним зидовима. Значајно, овај проблем утиче само на конфигурације ПАН-ОС 10.2, ПАН-ОС 11.0 и ПАН-ОС 11.1 са омогућеним мрежним пролазом ГлобалПротецт и телеметријом уређаја.
Преглед садржаја
Нападачи искориштавају рањивост ЦВЕ-2024-3400 да испоруче бацкдоор малвер
Операција МиднигхтЕцлипсе укључује искориштавање рањивости за успостављање црон посла који се извршава сваког минута, преузимање команди са екстерног сервера ('172.233.228.93/полици' или '172.233.228.93/патцх') и њихово покретање преко басх схелл-а.
Нападачи су наводно ручно контролисали листу контроле приступа (АЦЛ) за сервер за команду и контролу (Ц2), обезбеђујући да само уређај за комуникацију може да му приступи.
Иако прецизна функција команде остаје нејасна, сумња се да служи као механизам испоруке за бацкдоор заснован на Питхон-у који су истраживачи назвали УПСТИЛЕ који прате експлоатацију ЦВЕ-2024-3400. Овај бацкдоор се налази на засебном серверу ('144.172.79.92' и 'нхдата.с3-ус-вест-2.амазонавс.цом').
Питхон датотека је дизајнирана да креира и изврши другу Питхон скрипту ('систем.птх'), која заузврат декодира и покреће уграђену бацкдоор компоненту одговорну за извршавање команди актера претње. Резултати ових операција се евидентирају у датотеци под називом 'сслвпн_нгк_еррор.лог', док друга датотека под називом 'боотстрап.мин.цсс' бележи додатну активност.
Нападачи траже осетљиве информације са заражених уређаја
Значајан аспект ланца напада је коришћење легитимних датотека повезаних са заштитним зидом за екстраховање команди и за евидентирање резултата:
- /вар/лог/пан/сслвпн_нгк_еррор.лог
- /вар/аппвеб/сслвпндоцс/глобал-протецт/портал/цсс/боотстрап.мин.цсс
Да би написао команде у евиденцију грешака веб сервера, актер претње прави специфичне мрежне захтеве који циљају непостојећу веб страницу са одређеним шаблоном. Након тога, бацкдоор скенира датотеку евиденције у потрази за редовима који одговарају унапред дефинисаном регуларном изразу ('имг[([а-зА-З0-9+/=]+)]') да би декодирао и извршио уграђене команде.
Поред тога, скрипта покреће нову нит за извршавање функције под називом 'ресторе'. Ова функција враћа оригинални садржај и времена приступа/модификовања датотеке боотстрап.мин.цсс након кашњења од 15 секунди, ефикасно бришући трагове командних излаза.
Чини се да је примарни циљ минимизирање доказа о извршењу команде, што захтева ексфилтрацију резултата у року од 15 секунди пре преписивања датотеке.
Истраживачи су приметили да актер претње даљински искоришћава заштитни зид да би успоставио обрнуту шкољку, набавио додатне алате, продро у унутрашње мреже и на крају извукао податке. Тачан обим кампање остаје неизвестан. Глумац је назван УТА0218, показујући напредне способности и брзо извршење што указује на вештог актера претњи са унапред дефинисаном стратегијом за постизање својих циљева.
У почетку, УТА0218 се фокусирао на набавку ДПАПИ кључева за резервну копију домена и циљање акредитива активног директоријума да би добио НТДС.ДИТ датотеку. Такође су настојали да компромитују корисничке радне станице како би украли сачуване колачиће, податке за пријаву и ДПАПИ кључеве.
Организацијама се саветује да прате знаке унутрашњег бочног померања.
ЦИСА упозорава на рањивост ЦВЕ-2024-3400
Догађаји око рањивости ЦВЕ-2024-3400 подстакли су америчку агенцију за сајбер безбедност и инфраструктурну безбедност (ЦИСА) да укључи грешку у свој каталог познатих експлоатисаних рањивости (КЕВ), обавезујући савезне агенције да примењују закрпе за ублажавање потенцијалних претњи.
Циљање рубних уређаја остаје омиљени вектор напада за квалификоване актере претњи којима је потребно време и ресурси да истраже нове рањивости.
Имајући у виду ресурсе потребне за развој и искоришћавање такве рањивости, природу циљаних жртава и демонстриране способности у инсталирању Питхон бацкдоор-а и инфилтрацији у мреже жртава, врло је вероватно да је УТА0218 актер претњи коју подржава држава.
