CVE-2024-3400 பாதிப்பு

மார்ச் 26, 2024 முதல், Palo Alto Networks PAN-OS மென்பொருளில் புதிதாக வெளிப்படுத்தப்பட்ட பூஜ்ஜிய நாள் பாதிப்பை அச்சுறுத்தும் நடிகர்கள் பயன்படுத்தி வருகின்றனர். ஆபரேஷன் மிட்நைட் எக்லிப்ஸ் என்று ஆராய்ச்சியாளர்களால் அழைக்கப்பட்டது, இந்த செயல்பாடு ஒரு அடையாளம் தெரியாத அச்சுறுத்தல் நடிகருக்குக் காரணம்.

பாதிப்பு, CVE-2024-3400 என அறியப்படுகிறது மற்றும் 10.0 CVSS மதிப்பெண்ணுடன் மதிப்பிடப்பட்டது, இது கட்டளை ஊசி குறைபாடு ஆகும். பாதிக்கப்பட்ட ஃபயர்வால்களில் ரூட் சலுகைகளுடன் தன்னிச்சையான குறியீட்டை செயல்படுத்த அங்கீகரிக்கப்படாத ஹேக்கர்களை இது அனுமதிக்கிறது. குறிப்பிடத்தக்க வகையில், GlobalProtect கேட்வே மற்றும் சாதன டெலிமெட்ரி இயக்கப்பட்ட PAN-OS 10.2, PAN-OS 11.0 மற்றும் PAN-OS 11.1 உள்ளமைவுகளை மட்டுமே இந்தச் சிக்கல் பாதிக்கிறது.

தாக்குபவர்கள் CVE-2024-3400 பாதிப்பை பயன்படுத்தி பின்கதவு மால்வேரை வழங்குகின்றனர்

ஆபரேஷன் மிட்நைட் எக்லிப்ஸ் என்பது ஒவ்வொரு நிமிடமும் செயல்படும் கிரான் வேலையை நிறுவுவதற்கான பாதிப்பை மேம்படுத்துவது, வெளிப்புற சேவையகத்திலிருந்து ('172.233.228.93/policy' அல்லது '172.233.228.93/பேட்ச்') கட்டளைகளைப் பெற்று அவற்றை பாஷ் ஷெல் வழியாக இயக்குகிறது.

தாக்குபவர்கள் கட்டளை மற்றும் கட்டுப்பாடு (C2) சேவையகத்திற்கான அணுகல் கட்டுப்பாட்டு பட்டியலை (ACL) கைமுறையாகக் கட்டுப்படுத்தியதாகக் கூறப்படுகிறது, இது தொடர்பு சாதனம் மட்டுமே அதை அணுக முடியும் என்பதை உறுதி செய்கிறது.

கட்டளையின் துல்லியமான செயல்பாடு தெளிவாக இல்லை என்றாலும், CVE-2024-3400 இன் சுரண்டலைக் கண்காணிக்கும் ஆராய்ச்சியாளர்களால் UPSTYLE என அழைக்கப்படும் பைதான் அடிப்படையிலான பின்கதவுக்கான டெலிவரி பொறிமுறையாக இது செயல்படும் என்று சந்தேகிக்கப்படுகிறது. இந்த பின்கதவு ஒரு தனி சர்வரில் ('144.172.79.92' மற்றும் 'nhdata.s3-us-west-2.amazonaws.com') ஹோஸ்ட் செய்யப்பட்டுள்ளது.

பைதான் கோப்பு மற்றொரு பைதான் ஸ்கிரிப்டை ('system.pth') உருவாக்கி செயல்படுத்த வடிவமைக்கப்பட்டுள்ளது, இது அச்சுறுத்தல் நடிகரின் கட்டளைகளை செயல்படுத்துவதற்கு பொறுப்பான உட்பொதிக்கப்பட்ட பின்கதவு கூறுகளை டிகோட் செய்து துவக்குகிறது. இந்தச் செயல்பாடுகளின் முடிவுகள் 'sslvpn_ngx_error.log' என்ற கோப்பில் உள்நுழைந்துள்ளன, அதே நேரத்தில் 'bootstrap.min.css' என்ற பெயருடைய மற்றொரு கோப்பு கூடுதல் செயல்பாட்டைப் பதிவு செய்கிறது.

தாக்குபவர்கள் பாதிக்கப்பட்ட சாதனங்களிலிருந்து முக்கியமான தகவல்களை அறுவடை செய்ய முயல்கின்றனர்

தாக்குதல் சங்கிலியின் குறிப்பிடத்தக்க அம்சம், கட்டளைகளைப் பிரித்தெடுப்பதற்கும் பதிவுசெய்தல் முடிவுகள் இரண்டிற்கும் ஃபயர்வாலுடன் தொடர்புடைய முறையான கோப்புகளைப் பயன்படுத்துவதாகும்:

• /var/log/pan/sslvpn_ngx_error.log
• /var/appweb/sslvpndocs/global-protect/portal/css/bootstrap.min.css

வலை சேவையகப் பிழை பதிவில் கட்டளைகளை எழுத, அச்சுறுத்தல் நடிகர் ஒரு குறிப்பிட்ட வடிவத்துடன் இல்லாத வலைப்பக்கத்தை குறிவைத்து குறிப்பிட்ட நெட்வொர்க் கோரிக்கைகளை உருவாக்குகிறார். பின்னர், பின்கதவு பதிவுக் கோப்பை முன் வரையறுக்கப்பட்ட வழக்கமான வெளிப்பாட்டுடன் ('img[([a-zA-Z0-9+/=]+)]') பொருந்தும் வரிகளை டிகோட் செய்து உட்பொதிக்கப்பட்ட கட்டளைகளை இயக்குகிறது.

கூடுதலாக, ஸ்கிரிப்ட் 'மீட்டமை' என்ற செயல்பாட்டைச் செயல்படுத்த புதிய நூலை உருவாக்குகிறது. இந்தச் செயல்பாடு 15-வினாடி தாமதத்திற்குப் பிறகு bootstrap.min.css கோப்பின் அசல் உள்ளடக்கம் மற்றும் அணுகல்/மாற்றியமைக்கப்பட்ட நேரங்களை மீட்டமைக்கிறது, கட்டளை வெளியீடுகளின் தடயங்களை திறம்பட அழிக்கிறது.

முதன்மை நோக்கமானது கட்டளையை செயல்படுத்துவதற்கான ஆதாரங்களைக் குறைப்பதாகத் தெரிகிறது, கோப்பு மேலெழுதுவதற்கு முன் 15 வினாடிகளுக்குள் முடிவுகளை வெளியேற்ற வேண்டும்.

ரிவர்ஸ் ஷெல்லை நிறுவவும், கூடுதல் கருவிகளைப் பெறவும், உள் நெட்வொர்க்குகளில் ஊடுருவவும், இறுதியில் தரவைப் பிரித்தெடுக்கவும் அச்சுறுத்தல் நடிகர் ஃபயர்வாலை தொலைவிலிருந்து பயன்படுத்துவதை ஆராய்ச்சியாளர்கள் கவனித்துள்ளனர். பிரச்சாரத்தின் சரியான நோக்கம் நிச்சயமற்றதாகவே உள்ளது. நடிகருக்கு UTA0218 என்று பெயரிடப்பட்டது, அவர்களின் இலக்குகளை அடைவதற்கான முன் வரையறுக்கப்பட்ட உத்தியுடன் ஒரு திறமையான அச்சுறுத்தல் நடிகரின் மேம்பட்ட திறன்கள் மற்றும் விரைவான செயல்படுத்தல் ஆகியவற்றைக் காட்டுகிறது.

ஆரம்பத்தில், UTA0218 டொமைன் காப்புப்பிரதி DPAPI விசைகளைப் பெறுவதில் கவனம் செலுத்தியது மற்றும் NTDS.DIT கோப்பைப் பெறுவதற்கு செயலில் உள்ள அடைவுச் சான்றுகளை இலக்காகக் கொண்டது. சேமித்த குக்கீகள், உள்நுழைவு தரவு மற்றும் DPAPI விசைகளைத் திருட பயனர் பணிநிலையங்களை சமரசம் செய்யவும் அவர்கள் முயன்றனர்.

உள் பக்கவாட்டு இயக்கத்தின் அறிகுறிகளைக் கண்காணிக்க நிறுவனங்கள் அறிவுறுத்தப்படுகின்றன.

CVE-2024-3400 பாதிப்பு பற்றி CISA எச்சரிக்கிறது

CVE-2024-3400 பாதிப்பைச் சுற்றியுள்ள முன்னேற்றங்கள், அமெரிக்க சைபர் செக்யூரிட்டி மற்றும் இன்ஃப்ராஸ்ட்ரக்சர் செக்யூரிட்டி ஏஜென்சியை (CISA) அதன் அறியப்பட்ட சுரண்டப்பட்ட பாதிப்புகள் (KEV) பட்டியலில் உள்ள குறைபாட்டைச் சேர்க்க தூண்டியது, சாத்தியமான அச்சுறுத்தல்களைத் தணிக்க பெடரல் ஏஜென்சிகளை கட்டாயப்படுத்தியது.

புதிய பாதிப்புகளை ஆராய்வதற்கு தேவையான நேரமும் வளங்களும் தேவைப்படும் திறமையான அச்சுறுத்தல் நடிகர்களுக்கு எட்ஜ் சாதனங்களை இலக்கு வைப்பது ஒரு விருப்பமான தாக்குதல் திசையனாக உள்ளது.

அத்தகைய பாதிப்பை உருவாக்கி பயன்படுத்துவதற்கு தேவையான ஆதாரங்கள், இலக்கு வைக்கப்பட்ட பாதிக்கப்பட்டவர்களின் தன்மை மற்றும் பைதான் பின்கதவை நிறுவுதல் மற்றும் பாதிக்கப்பட்ட நெட்வொர்க்குகளில் ஊடுருவுதல் ஆகியவற்றில் நிரூபிக்கப்பட்ட திறன்கள் ஆகியவற்றைக் கருத்தில் கொண்டு, UTA0218 ஒரு மாநில ஆதரவு அச்சுறுத்தல் நடிகராக இருப்பது மிகவும் சாத்தியம்.