ช่องโหว่ CVE-2024-3400
ตั้งแต่วันที่ 26 มีนาคม 2024 ผู้ดำเนินการภัยคุกคามได้ใช้ประโยชน์จากช่องโหว่แบบ Zero-day ที่เพิ่งเปิดเผยในซอฟต์แวร์ PAN-OS ของ Palo Alto Networks นักวิจัยขนานนามว่า Operation MidnightEclipse กิจกรรมนี้มีสาเหตุมาจากผู้คุกคามที่ไม่ปรากฏหลักฐานเพียงรายเดียว
ช่องโหว่นี้เรียกว่า CVE-2024-3400 และได้รับคะแนน CVSS 10.0 ถือเป็นข้อบกพร่องของการแทรกคำสั่ง ช่วยให้แฮกเกอร์ที่ไม่ได้รับการรับรองความถูกต้องสามารถรันโค้ดโดยอำเภอใจด้วยสิทธิ์รูทบนไฟร์วอลล์ที่ได้รับผลกระทบ ปัญหานี้มีผลเฉพาะการกำหนดค่า PAN-OS 10.2, PAN-OS 11.0 และ PAN-OS 11.1 ที่เปิดใช้งานเกตเวย์ GlobalProtect และการตรวจวัดระยะไกลของอุปกรณ์
สารบัญ
ผู้โจมตีใช้ประโยชน์จากช่องโหว่ CVE-2024-3400 เพื่อส่งมัลแวร์แบ็คดอร์
การดำเนินการ MidnightEclipse เกี่ยวข้องกับการใช้ประโยชน์จากช่องโหว่เพื่อสร้างงาน cron ที่ดำเนินการทุกนาที โดยดึงคำสั่งจากเซิร์ฟเวอร์ภายนอก ('172.233.228.93/policy' หรือ '172.233.228.93/patch') และเรียกใช้คำสั่งเหล่านั้นผ่าน bash shell
มีรายงานว่าผู้โจมตีได้ควบคุมรายการควบคุมการเข้าถึง (ACL) สำหรับเซิร์ฟเวอร์ Command-and-Control (C2) ด้วยตนเอง เพื่อให้มั่นใจว่ามีเพียงอุปกรณ์สื่อสารเท่านั้นที่สามารถเข้าถึงได้
แม้ว่าการทำงานที่แม่นยำของคำสั่งจะยังคงไม่ชัดเจน แต่นักวิจัยก็สงสัยว่าจะใช้เป็นกลไกการส่งมอบสำหรับแบ็คดอร์ที่ใช้ Python ซึ่งมีชื่อว่า UPSTYLE โดยนักวิจัยที่ติดตามการใช้ประโยชน์จาก CVE-2024-3400 แบ็คดอร์นี้โฮสต์บนเซิร์ฟเวอร์แยกต่างหาก ('144.172.79.92' และ 'nhdata.s3-us-west-2.amazonaws.com')
ไฟล์ Python ได้รับการออกแบบมาเพื่อสร้างและรันสคริปต์ Python อื่น ('system.pth') ซึ่งจะถอดรหัสและเปิดใช้งานส่วนประกอบแบ็คดอร์ที่ฝังอยู่ซึ่งรับผิดชอบในการรันคำสั่งของนักแสดงภัยคุกคาม ผลลัพธ์ของการดำเนินการเหล่านี้จะถูกบันทึกไว้ในไฟล์ชื่อ 'sslvpn_ngx_error.log' ในขณะที่ไฟล์อื่นชื่อ 'bootstrap.min.css' จะบันทึกกิจกรรมเพิ่มเติม
ผู้โจมตีพยายามรวบรวมข้อมูลที่ละเอียดอ่อนจากอุปกรณ์ที่ติดไวรัส
ลักษณะเด่นของห่วงโซ่การโจมตีคือการใช้ไฟล์ที่ถูกต้องตามกฎหมายที่เกี่ยวข้องกับไฟร์วอลล์สำหรับทั้งการแยกคำสั่งและผลลัพธ์การบันทึก:
- /var/log/pan/sslvpn_ngx_error.log
- /var/appweb/sslvpndocs/global-protect/portal/css/bootstrap.min.css
ในการเขียนคำสั่งไปยังบันทึกข้อผิดพลาดของเว็บเซิร์ฟเวอร์ ผู้คุกคามจะสร้างคำขอเครือข่ายเฉพาะที่กำหนดเป้าหมายหน้าเว็บที่ไม่มีอยู่ด้วยรูปแบบเฉพาะ จากนั้นแบ็คดอร์จะสแกนไฟล์บันทึกเพื่อหาบรรทัดที่ตรงกับนิพจน์ทั่วไปที่กำหนดไว้ล่วงหน้า ('img[([a-zA-Z0-9+/=]+)]') เพื่อถอดรหัสและดำเนินการคำสั่งที่ฝังไว้
นอกจากนี้ สคริปต์จะสร้างเธรดใหม่เพื่อเรียกใช้ฟังก์ชันชื่อ 'restore' ฟังก์ชันนี้กู้คืนเนื้อหาต้นฉบับและเวลาการเข้าถึง/แก้ไขของไฟล์ bootstrap.min.css หลังจากการหน่วงเวลา 15 วินาที ซึ่งจะลบการติดตามเอาต์พุตคำสั่งอย่างมีประสิทธิภาพ
วัตถุประสงค์หลักดูเหมือนจะลดหลักฐานการดำเนินการคำสั่งให้เหลือน้อยที่สุด โดยต้องมีการกรองผลลัพธ์ภายใน 15 วินาทีก่อนที่จะเขียนทับไฟล์
นักวิจัยได้สังเกตเห็นผู้คุกคามใช้ประโยชน์จากไฟร์วอลล์จากระยะไกลเพื่อสร้าง Reverse Shell รับเครื่องมือเพิ่มเติม เจาะเครือข่ายภายใน และดึงข้อมูลในท้ายที่สุด ขอบเขตที่แน่นอนของการรณรงค์ยังคงไม่แน่นอน นักแสดงได้รับการขนานนามว่า UTA0218 ซึ่งแสดงให้เห็นถึงความสามารถขั้นสูงและการดำเนินการที่รวดเร็วซึ่งบ่งชี้ถึงนักแสดงภัยคุกคามที่มีทักษะพร้อมกลยุทธ์ที่กำหนดไว้ล่วงหน้าเพื่อให้บรรลุเป้าหมาย
เริ่มแรก UTA0218 มุ่งเน้นไปที่การรับคีย์ DPAPI สำรองของโดเมน และกำหนดเป้าหมายข้อมูลรับรองไดเรกทอรีที่ใช้งานอยู่เพื่อรับไฟล์ NTDS.DIT พวกเขายังพยายามประนีประนอมเวิร์กสเตชันของผู้ใช้เพื่อขโมยคุกกี้ ข้อมูลการเข้าสู่ระบบ และคีย์ DPAPI ที่บันทึกไว้
องค์กรต่างๆ ควรติดตามสัญญาณของการเคลื่อนไหวด้านข้างภายใน
CISA เตือนเกี่ยวกับช่องโหว่ CVE-2024-3400
การพัฒนาช่องโหว่ CVE-2024-3400 กระตุ้นให้หน่วยงานรักษาความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐานด้านความปลอดภัยทางไซเบอร์ของสหรัฐอเมริกา (CISA) รวมข้อบกพร่องดังกล่าวไว้ในแค็ตตาล็อก Known Exploited Vulnerabilities (KEV) โดยกำหนดให้หน่วยงานรัฐบาลกลางใช้แพตช์เพื่อบรรเทาภัยคุกคามที่อาจเกิดขึ้น
การกำหนดเป้าหมายอุปกรณ์ Edge ยังคงเป็นเวกเตอร์การโจมตีที่นิยมสำหรับผู้แสดงภัยคุกคามที่มีทักษะ ซึ่งต้องการเวลาและทรัพยากรที่จำเป็นในการสำรวจช่องโหว่ใหม่ๆ
เมื่อพิจารณาถึงทรัพยากรที่จำเป็นในการพัฒนาและใช้ประโยชน์จากช่องโหว่ ธรรมชาติของเหยื่อที่เป็นเป้าหมาย และความสามารถในการแสดงให้เห็นในการติดตั้งแบ็คดอร์ Python และเครือข่ายเหยื่อที่แทรกซึม มีความเป็นไปได้สูงที่ UTA0218 จะเป็นภัยคุกคามที่ได้รับการสนับสนุนจากรัฐ
