CVE-2024-3400 Sårbarhet
Sedan den 26 mars 2024 har hotaktörer utnyttjat en nyligen avslöjad nolldagarssårbarhet i Palo Alto Networks PAN-OS-programvara. Döpt till Operation Midnight Eclipse av forskare, denna aktivitet tillskrivs en enda oidentifierad hotaktör.
Sårbarheten, känd som CVE-2024-3400 och betygsatt med en CVSS-poäng på 10,0, är ett kommandoinjektionsfel. Det tillåter oautentiserade hackare att exekvera godtycklig kod med root-privilegier på berörda brandväggar. Det här problemet påverkar endast PAN-OS 10.2, PAN-OS 11.0 och PAN-OS 11.1-konfigurationer med GlobalProtect-gateway och enhetstelemetri aktiverade.
Innehållsförteckning
Angripare utnyttjar CVE-2024-3400-sårbarheten för att leverera en bakdörrsmalware
Operation MidnightEclipse innebär att utnyttja sårbarheten för att etablera ett cron-jobb som körs varje minut, hämta kommandon från en extern server ('172.233.228.93/policy' eller '172.233.228.93/patch') och köra dem via bash-skalet.
Angriparna har enligt uppgift manuellt kontrollerat en åtkomstkontrolllista (ACL) för Command-and-Control (C2)-servern, vilket säkerställer att endast den kommunicerande enheten kan komma åt den.
Även om den exakta funktionen av kommandot förblir oklart, misstänks det fungera som en leveransmekanism för en Python-baserad bakdörr dubbad UPSTYLE av forskare som spårar exploateringen av CVE-2024-3400. Denna bakdörr finns på en separat server ('144.172.79.92' och 'nhdata.s3-us-west-2.amazonaws.com').
Python-filen är designad för att skapa och köra ett annat Python-skript ('system.pth'), som i sin tur avkodar och startar den inbäddade bakdörrskomponenten som är ansvarig för att utföra hotaktörens kommandon. Resultaten av dessa operationer loggas i en fil med namnet 'sslvpn_ngx_error.log', medan en annan fil med namnet 'bootstrap.min.css' registrerar ytterligare aktivitet.
Angripare försöker samla in känslig information från infekterade enheter
En anmärkningsvärd aspekt av attackkedjan är användningen av legitima filer associerade med brandväggen för både att extrahera kommandon och loggningsresultat:
- /var/log/pan/sslvpn_ngx_error.log
- /var/appweb/sslvpndocs/global-protect/portal/css/bootstrap.min.css
För att skriva kommandon till webbserverns fellogg skapar hotaktören specifika nätverksförfrågningar som riktar in sig på en obefintlig webbsida med ett visst mönster. Därefter skannar bakdörren loggfilen efter rader som matchar ett fördefinierat reguljärt uttryck ('img[([a-zA-Z0-9+/=]+)]') för att avkoda och exekvera inbäddade kommandon.
Dessutom skapar skriptet en ny tråd för att köra en funktion som heter 'återställa'. Den här funktionen återställer det ursprungliga innehållet och åtkomst/ändrade tider för filen bootstrap.min.css efter en 15-sekunders fördröjning, vilket effektivt raderar spår av kommandoutgångar.
Det primära målet tycks vara att minimera bevis på att kommandot körs, vilket kräver exfiltrering av resultat inom 15 sekunder innan filen skrivs över.
Forskare har observerat att hotaktören på distans utnyttjar brandväggen för att etablera ett omvänt skal, skaffa ytterligare verktyg, penetrera interna nätverk och slutligen extrahera data. Den exakta omfattningen av kampanjen är fortfarande osäker. Skådespelaren har döpts till UTA0218, och visar upp avancerade kapaciteter och snabba utförande som tyder på en skicklig hotaktör med en fördefinierad strategi för att uppnå sina mål.
Ursprungligen fokuserade UTA0218 på att skaffa domänbackup-DPAPI-nycklar och inrikta sig på Active Directory-referenser för att få NTDS.DIT-filen. De försökte också kompromissa med användararbetsstationer för att stjäla sparade cookies, inloggningsdata och DPAPI-nycklar.
Organisationer rekommenderas att övervaka tecken på inre sidorörelser.
CISA varnar för CVE-2024-3400-sårbarheten
Utvecklingen kring CVE-2024-3400-sårbarheten fick den amerikanska byrån för cybersäkerhet och infrastruktursäkerhet (CISA) att inkludera bristen i sin KEV-katalog (Known Exploited Vulnerabilities), som tvingade federala myndigheter att tillämpa patchar för att mildra potentiella hot.
Inriktningsenheter förblir en favoriserad attackvektor för skickliga hotaktörer som behöver den nödvändiga tiden och resurserna för att utforska nya sårbarheter.
Med tanke på de resurser som krävs för att utveckla och utnyttja en sådan sårbarhet, arten av riktade offer och de demonstrerade kapaciteterna för att installera Python-bakdörren och infiltrera offernätverk, är det högst troligt att UTA0218 är en statsstödd hotaktör.
