CVE-2024-3400 దుర్బలత్వం
మార్చి 26, 2024 నుండి, పాలో ఆల్టో నెట్వర్క్ల PAN-OS సాఫ్ట్వేర్లో కొత్తగా వెల్లడించిన జీరో-డే దుర్బలత్వాన్ని బెదిరింపు నటులు సద్వినియోగం చేసుకుంటున్నారు. పరిశోధకులచే ఆపరేషన్ మిడ్నైట్ఎక్లిప్స్గా పిలువబడింది, ఈ కార్యకలాపం ఒక గుర్తించబడని ముప్పు నటుడికి ఆపాదించబడింది.
దుర్బలత్వం, CVE-2024-3400 అని పిలుస్తారు మరియు CVSS స్కోర్ 10.0తో రేట్ చేయబడింది, ఇది కమాండ్ ఇంజెక్షన్ లోపం. ప్రభావితమైన ఫైర్వాల్లపై రూట్ అధికారాలతో ఏకపక్ష కోడ్ని అమలు చేయడానికి ఇది అనధికార హ్యాకర్లను అనుమతిస్తుంది. ముఖ్యంగా, ఈ సమస్య GlobalProtect గేట్వే మరియు డివైజ్ టెలిమెట్రీ ఎనేబుల్ చేయబడిన PAN-OS 10.2, PAN-OS 11.0 మరియు PAN-OS 11.1 కాన్ఫిగరేషన్లను మాత్రమే ప్రభావితం చేస్తుంది.
విషయ సూచిక
దాడి చేసేవారు బ్యాక్డోర్ మాల్వేర్ను అందించడానికి CVE-2024-3400 దుర్బలత్వాన్ని ఉపయోగించుకుంటారు
ఆపరేషన్ మిడ్నైట్ ఎక్లిప్స్లో ప్రతి నిమిషం అమలు చేసే క్రాన్ జాబ్ని స్థాపించడానికి హానిని పెంచడం, బాహ్య సర్వర్ ('172.233.228.93/పాలసీ' లేదా '172.233.228.93/ప్యాచ్') నుండి ఆదేశాలను పొందడం మరియు వాటిని బాష్ షెల్ ద్వారా అమలు చేయడం వంటివి ఉంటాయి.
దాడి చేసేవారు కమాండ్-అండ్-కంట్రోల్ (C2) సర్వర్ కోసం యాక్సెస్ కంట్రోల్ లిస్ట్ (ACL)ని మాన్యువల్గా నియంత్రించినట్లు నివేదించబడింది, కమ్యూనికేట్ చేసే పరికరం మాత్రమే దాన్ని యాక్సెస్ చేయగలదని నిర్ధారిస్తుంది.
కమాండ్ యొక్క ఖచ్చితమైన పనితీరు అస్పష్టంగా ఉన్నప్పటికీ, CVE-2024-3400 యొక్క దోపిడీని ట్రాక్ చేసే పరిశోధకులచే UPSTYLE అని పిలువబడే పైథాన్-ఆధారిత బ్యాక్డోర్ కోసం డెలివరీ మెకానిజం వలె పని చేస్తుందని అనుమానించబడింది. ఈ బ్యాక్డోర్ ప్రత్యేక సర్వర్లో హోస్ట్ చేయబడింది ('144.172.79.92' మరియు 'nhdata.s3-us-west-2.amazonaws.com').
పైథాన్ ఫైల్ మరొక పైథాన్ స్క్రిప్ట్ను ('system.pth') సృష్టించడానికి మరియు అమలు చేయడానికి రూపొందించబడింది, ఇది ముప్పు నటుడి ఆదేశాలను అమలు చేయడానికి బాధ్యత వహించే ఎంబెడెడ్ బ్యాక్డోర్ కాంపోనెంట్ను డీకోడ్ చేస్తుంది మరియు ప్రారంభిస్తుంది. ఈ ఆపరేషన్ల ఫలితాలు 'sslvpn_ngx_error.log' అనే ఫైల్లో లాగిన్ చేయబడ్డాయి, అయితే 'bootstrap.min.css' పేరుతో ఉన్న మరొక ఫైల్ అదనపు కార్యాచరణను నమోదు చేస్తుంది.
దాడి చేసేవారు సోకిన పరికరాల నుండి సున్నితమైన సమాచారాన్ని సేకరించేందుకు ప్రయత్నిస్తారు
కమాండ్లను సంగ్రహించడం మరియు లాగింగ్ ఫలితాలు రెండింటికీ ఫైర్వాల్తో అనుబంధించబడిన చట్టబద్ధమైన ఫైల్లను ఉపయోగించడం దాడి గొలుసు యొక్క ముఖ్యమైన అంశం:
- /var/log/pan/sslvpn_ngx_error.log
- /var/appweb/sslvpndocs/global-protect/portal/css/bootstrap.min.css
వెబ్ సర్వర్ ఎర్రర్ లాగ్కు ఆదేశాలను వ్రాయడానికి, బెదిరింపు నటుడు నిర్దిష్ట నమూనాతో ఉనికిలో లేని వెబ్ పేజీని లక్ష్యంగా చేసుకుని నిర్దిష్ట నెట్వర్క్ అభ్యర్థనలను రూపొందించారు. తదనంతరం, ఎంబెడెడ్ ఆదేశాలను డీకోడ్ చేయడానికి మరియు అమలు చేయడానికి బ్యాక్డోర్ లాగ్ ఫైల్ను ముందే నిర్వచించిన సాధారణ వ్యక్తీకరణ ('img[([a-zA-Z0-9+/=]+)]')కి సరిపోలే పంక్తుల కోసం స్కాన్ చేస్తుంది.
అదనంగా, స్క్రిప్ట్ 'పునరుద్ధరించు' పేరుతో ఒక ఫంక్షన్ని అమలు చేయడానికి కొత్త థ్రెడ్ను అందిస్తుంది. ఈ ఫంక్షన్ 15-సెకన్ల ఆలస్యం తర్వాత bootstrap.min.css ఫైల్ యొక్క అసలైన కంటెంట్ మరియు యాక్సెస్/మార్పు చేసిన సమయాలను పునరుద్ధరిస్తుంది, కమాండ్ అవుట్పుట్ల జాడలను ప్రభావవంతంగా తొలగిస్తుంది.
ప్రాథమిక లక్ష్యం కమాండ్ ఎగ్జిక్యూషన్ యొక్క సాక్ష్యాలను తగ్గించడం, ఫైల్ ఓవర్రైట్కు ముందు 15 సెకన్లలోపు ఫలితాలను వెలికితీయడం అవసరం.
రివర్స్ షెల్ను ఏర్పాటు చేయడానికి, అదనపు సాధనాలను సంపాదించడానికి, అంతర్గత నెట్వర్క్లను చొచ్చుకుపోవడానికి మరియు చివరికి డేటాను సంగ్రహించడానికి ముప్పు నటుడు రిమోట్గా ఫైర్వాల్ను ఉపయోగించడాన్ని పరిశోధకులు గమనించారు. ప్రచారం యొక్క ఖచ్చితమైన పరిధి అనిశ్చితంగా ఉంది. నటుడికి UTA0218 అని పేరు పెట్టారు, వారి లక్ష్యాలను సాధించడానికి ముందుగా నిర్వచించబడిన వ్యూహంతో నైపుణ్యం కలిగిన ముప్పు నటుడి యొక్క అధునాతన సామర్థ్యాలు మరియు వేగవంతమైన అమలును సూచిస్తారు.
ప్రారంభంలో, UTA0218 డొమైన్ బ్యాకప్ DPAPI కీలను పొందడం మరియు NTDS.DIT ఫైల్ను పొందేందుకు క్రియాశీల డైరెక్టరీ ఆధారాలను లక్ష్యంగా చేసుకోవడంపై దృష్టి పెట్టింది. సేవ్ చేసిన కుక్కీలు, లాగిన్ డేటా మరియు DPAPI కీలను దొంగిలించడానికి వారు వినియోగదారు వర్క్స్టేషన్లను రాజీ చేయడానికి కూడా ప్రయత్నించారు.
అంతర్గత పార్శ్వ కదలిక సంకేతాల కోసం పర్యవేక్షించాలని సంస్థలు సూచించబడ్డాయి.
CISA CVE-2024-3400 దుర్బలత్వం గురించి హెచ్చరిస్తుంది
CVE-2024-3400 వల్నరబిలిటీ చుట్టూ ఉన్న పరిణామాలు US సైబర్ సెక్యూరిటీ అండ్ ఇన్ఫ్రాస్ట్రక్చర్ సెక్యూరిటీ ఏజెన్సీ (CISA)ని దాని తెలిసిన ఎక్స్ప్లోయిటెడ్ వల్నరబిలిటీస్ (KEV) కేటలాగ్లో లోపాన్ని చేర్చడానికి ప్రేరేపించాయి, సంభావ్య బెదిరింపులను తగ్గించడానికి ఫెడరల్ ఏజెన్సీలను తప్పనిసరి చేసింది.
కొత్త దుర్బలత్వాలను అన్వేషించడానికి అవసరమైన సమయం మరియు వనరులు అవసరమయ్యే నైపుణ్యం కలిగిన ముప్పు నటులకు ఎడ్జ్ పరికరాలను లక్ష్యంగా చేసుకోవడం అనుకూలమైన దాడి వెక్టర్గా మిగిలిపోయింది.
అటువంటి దుర్బలత్వాన్ని అభివృద్ధి చేయడానికి మరియు దోపిడీ చేయడానికి అవసరమైన వనరులు, లక్ష్యంగా చేసుకున్న బాధితుల స్వభావం మరియు పైథాన్ బ్యాక్డోర్ను ఇన్స్టాల్ చేయడంలో మరియు బాధితుల నెట్వర్క్లను చొరబాట్ చేయడంలో ప్రదర్శించిన సామర్థ్యాల దృష్ట్యా, UTA0218 అనేది రాష్ట్ర-మద్దతుగల బెదిరింపు నటుడు అని చాలా సంభావ్యంగా ఉంది.