CVE-2024-3400 దుర్బలత్వం

మార్చి 26, 2024 నుండి, పాలో ఆల్టో నెట్‌వర్క్‌ల PAN-OS సాఫ్ట్‌వేర్‌లో కొత్తగా వెల్లడించిన జీరో-డే దుర్బలత్వాన్ని బెదిరింపు నటులు సద్వినియోగం చేసుకుంటున్నారు. పరిశోధకులచే ఆపరేషన్ మిడ్‌నైట్‌ఎక్లిప్స్‌గా పిలువబడింది, ఈ కార్యకలాపం ఒక గుర్తించబడని ముప్పు నటుడికి ఆపాదించబడింది.

దుర్బలత్వం, CVE-2024-3400 అని పిలుస్తారు మరియు CVSS స్కోర్ 10.0తో రేట్ చేయబడింది, ఇది కమాండ్ ఇంజెక్షన్ లోపం. ప్రభావితమైన ఫైర్‌వాల్‌లపై రూట్ అధికారాలతో ఏకపక్ష కోడ్‌ని అమలు చేయడానికి ఇది అనధికార హ్యాకర్‌లను అనుమతిస్తుంది. ముఖ్యంగా, ఈ సమస్య GlobalProtect గేట్‌వే మరియు డివైజ్ టెలిమెట్రీ ఎనేబుల్ చేయబడిన PAN-OS 10.2, PAN-OS 11.0 మరియు PAN-OS 11.1 కాన్ఫిగరేషన్‌లను మాత్రమే ప్రభావితం చేస్తుంది.

దాడి చేసేవారు బ్యాక్‌డోర్ మాల్‌వేర్‌ను అందించడానికి CVE-2024-3400 దుర్బలత్వాన్ని ఉపయోగించుకుంటారు

ఆపరేషన్ మిడ్‌నైట్ ఎక్లిప్స్‌లో ప్రతి నిమిషం అమలు చేసే క్రాన్ జాబ్‌ని స్థాపించడానికి హానిని పెంచడం, బాహ్య సర్వర్ ('172.233.228.93/పాలసీ' లేదా '172.233.228.93/ప్యాచ్') నుండి ఆదేశాలను పొందడం మరియు వాటిని బాష్ షెల్ ద్వారా అమలు చేయడం వంటివి ఉంటాయి.

దాడి చేసేవారు కమాండ్-అండ్-కంట్రోల్ (C2) సర్వర్ కోసం యాక్సెస్ కంట్రోల్ లిస్ట్ (ACL)ని మాన్యువల్‌గా నియంత్రించినట్లు నివేదించబడింది, కమ్యూనికేట్ చేసే పరికరం మాత్రమే దాన్ని యాక్సెస్ చేయగలదని నిర్ధారిస్తుంది.

కమాండ్ యొక్క ఖచ్చితమైన పనితీరు అస్పష్టంగా ఉన్నప్పటికీ, CVE-2024-3400 యొక్క దోపిడీని ట్రాక్ చేసే పరిశోధకులచే UPSTYLE అని పిలువబడే పైథాన్-ఆధారిత బ్యాక్‌డోర్ కోసం డెలివరీ మెకానిజం వలె పని చేస్తుందని అనుమానించబడింది. ఈ బ్యాక్‌డోర్ ప్రత్యేక సర్వర్‌లో హోస్ట్ చేయబడింది ('144.172.79.92' మరియు 'nhdata.s3-us-west-2.amazonaws.com').

పైథాన్ ఫైల్ మరొక పైథాన్ స్క్రిప్ట్‌ను ('system.pth') సృష్టించడానికి మరియు అమలు చేయడానికి రూపొందించబడింది, ఇది ముప్పు నటుడి ఆదేశాలను అమలు చేయడానికి బాధ్యత వహించే ఎంబెడెడ్ బ్యాక్‌డోర్ కాంపోనెంట్‌ను డీకోడ్ చేస్తుంది మరియు ప్రారంభిస్తుంది. ఈ ఆపరేషన్‌ల ఫలితాలు 'sslvpn_ngx_error.log' అనే ఫైల్‌లో లాగిన్ చేయబడ్డాయి, అయితే 'bootstrap.min.css' పేరుతో ఉన్న మరొక ఫైల్ అదనపు కార్యాచరణను నమోదు చేస్తుంది.

దాడి చేసేవారు సోకిన పరికరాల నుండి సున్నితమైన సమాచారాన్ని సేకరించేందుకు ప్రయత్నిస్తారు

కమాండ్‌లను సంగ్రహించడం మరియు లాగింగ్ ఫలితాలు రెండింటికీ ఫైర్‌వాల్‌తో అనుబంధించబడిన చట్టబద్ధమైన ఫైల్‌లను ఉపయోగించడం దాడి గొలుసు యొక్క ముఖ్యమైన అంశం:

• /var/log/pan/sslvpn_ngx_error.log
• /var/appweb/sslvpndocs/global-protect/portal/css/bootstrap.min.css

వెబ్ సర్వర్ ఎర్రర్ లాగ్‌కు ఆదేశాలను వ్రాయడానికి, బెదిరింపు నటుడు నిర్దిష్ట నమూనాతో ఉనికిలో లేని వెబ్ పేజీని లక్ష్యంగా చేసుకుని నిర్దిష్ట నెట్‌వర్క్ అభ్యర్థనలను రూపొందించారు. తదనంతరం, ఎంబెడెడ్ ఆదేశాలను డీకోడ్ చేయడానికి మరియు అమలు చేయడానికి బ్యాక్‌డోర్ లాగ్ ఫైల్‌ను ముందే నిర్వచించిన సాధారణ వ్యక్తీకరణ ('img[([a-zA-Z0-9+/=]+)]')కి సరిపోలే పంక్తుల కోసం స్కాన్ చేస్తుంది.

అదనంగా, స్క్రిప్ట్ 'పునరుద్ధరించు' పేరుతో ఒక ఫంక్షన్‌ని అమలు చేయడానికి కొత్త థ్రెడ్‌ను అందిస్తుంది. ఈ ఫంక్షన్ 15-సెకన్ల ఆలస్యం తర్వాత bootstrap.min.css ఫైల్ యొక్క అసలైన కంటెంట్ మరియు యాక్సెస్/మార్పు చేసిన సమయాలను పునరుద్ధరిస్తుంది, కమాండ్ అవుట్‌పుట్‌ల జాడలను ప్రభావవంతంగా తొలగిస్తుంది.

ప్రాథమిక లక్ష్యం కమాండ్ ఎగ్జిక్యూషన్ యొక్క సాక్ష్యాలను తగ్గించడం, ఫైల్ ఓవర్‌రైట్‌కు ముందు 15 సెకన్లలోపు ఫలితాలను వెలికితీయడం అవసరం.

రివర్స్ షెల్‌ను ఏర్పాటు చేయడానికి, అదనపు సాధనాలను సంపాదించడానికి, అంతర్గత నెట్‌వర్క్‌లను చొచ్చుకుపోవడానికి మరియు చివరికి డేటాను సంగ్రహించడానికి ముప్పు నటుడు రిమోట్‌గా ఫైర్‌వాల్‌ను ఉపయోగించడాన్ని పరిశోధకులు గమనించారు. ప్రచారం యొక్క ఖచ్చితమైన పరిధి అనిశ్చితంగా ఉంది. నటుడికి UTA0218 అని పేరు పెట్టారు, వారి లక్ష్యాలను సాధించడానికి ముందుగా నిర్వచించబడిన వ్యూహంతో నైపుణ్యం కలిగిన ముప్పు నటుడి యొక్క అధునాతన సామర్థ్యాలు మరియు వేగవంతమైన అమలును సూచిస్తారు.

ప్రారంభంలో, UTA0218 డొమైన్ బ్యాకప్ DPAPI కీలను పొందడం మరియు NTDS.DIT ఫైల్‌ను పొందేందుకు క్రియాశీల డైరెక్టరీ ఆధారాలను లక్ష్యంగా చేసుకోవడంపై దృష్టి పెట్టింది. సేవ్ చేసిన కుక్కీలు, లాగిన్ డేటా మరియు DPAPI కీలను దొంగిలించడానికి వారు వినియోగదారు వర్క్‌స్టేషన్‌లను రాజీ చేయడానికి కూడా ప్రయత్నించారు.

అంతర్గత పార్శ్వ కదలిక సంకేతాల కోసం పర్యవేక్షించాలని సంస్థలు సూచించబడ్డాయి.

CISA CVE-2024-3400 దుర్బలత్వం గురించి హెచ్చరిస్తుంది

CVE-2024-3400 వల్నరబిలిటీ చుట్టూ ఉన్న పరిణామాలు US సైబర్‌ సెక్యూరిటీ అండ్ ఇన్‌ఫ్రాస్ట్రక్చర్ సెక్యూరిటీ ఏజెన్సీ (CISA)ని దాని తెలిసిన ఎక్స్‌ప్లోయిటెడ్ వల్నరబిలిటీస్ (KEV) కేటలాగ్‌లో లోపాన్ని చేర్చడానికి ప్రేరేపించాయి, సంభావ్య బెదిరింపులను తగ్గించడానికి ఫెడరల్ ఏజెన్సీలను తప్పనిసరి చేసింది.

కొత్త దుర్బలత్వాలను అన్వేషించడానికి అవసరమైన సమయం మరియు వనరులు అవసరమయ్యే నైపుణ్యం కలిగిన ముప్పు నటులకు ఎడ్జ్ పరికరాలను లక్ష్యంగా చేసుకోవడం అనుకూలమైన దాడి వెక్టర్‌గా మిగిలిపోయింది.

అటువంటి దుర్బలత్వాన్ని అభివృద్ధి చేయడానికి మరియు దోపిడీ చేయడానికి అవసరమైన వనరులు, లక్ష్యంగా చేసుకున్న బాధితుల స్వభావం మరియు పైథాన్ బ్యాక్‌డోర్‌ను ఇన్‌స్టాల్ చేయడంలో మరియు బాధితుల నెట్‌వర్క్‌లను చొరబాట్ చేయడంలో ప్రదర్శించిన సామర్థ్యాల దృష్ట్యా, UTA0218 అనేది రాష్ట్ర-మద్దతుగల బెదిరింపు నటుడు అని చాలా సంభావ్యంగా ఉంది.