CVE-2024-3400 Kahinaan
Mula noong Marso 26, 2024, sinasamantala ng mga threat actor ang isang bagong nahayag na zero-day na kahinaan sa Palo Alto Networks PAN-OS software. Tinaguriang Operation MidnightEclipse ng mga mananaliksik, ang aktibidad na ito ay iniuugnay sa isang hindi kilalang banta na aktor.
Ang kahinaan, na kilala bilang CVE-2024-3400 at na-rate na may marka ng CVSS na 10.0, ay isang depekto sa command injection. Pinapayagan nito ang mga hindi napatotohanang hacker na magsagawa ng arbitrary code na may mga pribilehiyo sa ugat sa mga apektadong firewall. Kapansin-pansin, ang isyung ito ay nakakaapekto lamang sa mga configuration ng PAN-OS 10.2, PAN-OS 11.0, at PAN-OS 11.1 na may GlobalProtect gateway at telemetry ng device na pinagana.
Talaan ng mga Nilalaman
Sinasamantala ng mga Attacker ang CVE-2024-3400 Vulnerability para Maghatid ng Backdoor Malware
Kasama sa Operation MidnightEclipse ang paggamit ng kahinaan upang magtatag ng cron job na nagsasagawa bawat minuto, pagkuha ng mga command mula sa isang external na server ('172.233.228.93/policy' o '172.233.228.93/patch') at patakbuhin ang mga ito sa pamamagitan ng bash shell.
Ang mga umaatake ay naiulat na manu-manong kinokontrol ang isang access control list (ACL) para sa Command-and-Control (C2) server, na tinitiyak na ang aparatong nakikipag-ugnayan lamang ang makaka-access dito.
Bagama't nananatiling hindi malinaw ang tumpak na paggana ng command, pinaghihinalaang ito ay nagsisilbing mekanismo ng paghahatid para sa backdoor na nakabase sa Python na tinatawag na UPSTYLE ng mga mananaliksik na sumusubaybay sa pagsasamantala sa CVE-2024-3400. Ang backdoor na ito ay naka-host sa isang hiwalay na server ('144.172.79.92' at 'nhdata.s3-us-west-2.amazonaws.com').
Ang Python file ay idinisenyo upang lumikha at magsagawa ng isa pang Python script ('system.pth'), na nagde-decode at naglulunsad ng naka-embed na backdoor na bahagi na responsable para sa pagpapatupad ng mga utos ng aktor ng pagbabanta. Ang mga resulta ng mga operasyong ito ay naka-log in sa isang file na pinangalanang 'sslvpn_ngx_error.log,' habang ang isa pang file na pinangalanang 'bootstrap.min.css' ay nagtatala ng karagdagang aktibidad.
Hinahangad ng mga Attacker na Makakuha ng Sensitibong Impormasyon mula sa Mga Infected na Device
Ang isang kapansin-pansing aspeto ng attack chain ay ang paggamit ng mga lehitimong file na nauugnay sa firewall para sa parehong pag-extract ng mga command at mga resulta ng pag-log:
- /var/log/pan/sslvpn_ngx_error.log
- /var/appweb/sslvpndocs/global-protect/portal/css/bootstrap.min.css
Upang magsulat ng mga utos sa log ng error sa Web server, ang aktor ng banta ay gumagawa ng mga partikular na kahilingan sa network na nagta-target sa isang hindi umiiral na web page na may partikular na pattern. Kasunod nito, ini-scan ng backdoor ang log file para sa mga linyang tumutugma sa isang paunang natukoy na regular na expression ('img[([a-zA-Z0-9+/=]+)]') upang mag-decode at magsagawa ng mga naka-embed na command.
Bukod pa rito, ang script ay naglalabas ng bagong thread para magsagawa ng function na pinangalanang 'restore.' Ibinabalik ng function na ito ang orihinal na nilalaman at pag-access/binagong mga oras ng bootstrap.min.css file pagkatapos ng 15 segundong pagkaantala, na epektibong nagbubura ng mga bakas ng mga output ng command.
Ang pangunahing layunin ay tila bawasan ang katibayan ng pagpapatupad ng command, na nangangailangan ng exfiltration ng mga resulta sa loob ng 15 segundo bago ma-overwrite ang file.
Naobserbahan ng mga mananaliksik ang banta ng aktor na malayuang nagsasamantala sa firewall upang magtatag ng reverse shell, kumuha ng mga karagdagang tool, tumagos sa mga panloob na network, at sa huli ay kumuha ng data. Ang eksaktong saklaw ng kampanya ay nananatiling hindi tiyak. Ang aktor ay tinawag na UTA0218, na nagpapakita ng mga advanced na kakayahan at mabilis na pagpapatupad na nagpapahiwatig ng isang bihasang aktor ng pagbabanta na may paunang natukoy na diskarte upang makamit ang kanilang mga layunin.
Sa una, nakatuon ang UTA0218 sa pagkuha ng mga backup ng domain na DPAPI key at pag-target ng mga aktibong kredensyal ng direktoryo upang makuha ang NTDS.DIT file. Sinikap din nilang ikompromiso ang mga workstation ng user upang magnakaw ng mga naka-save na cookies, data sa pag-log in, at DPAPI key.
Pinapayuhan ang mga organisasyon na subaybayan ang mga palatandaan ng panloob na paggalaw sa gilid.
Nagbabala ang CISA tungkol sa CVE-2024-3400 Vulnerability
Ang mga pag-unlad sa paligid ng CVE-2024-3400 Vulnerability ay nag-udyok sa Cybersecurity and Infrastructure Security Agency (CISA) ng US na isama ang kapintasan sa Catalog ng Known Exploited Vulnerabilities (KEV), na nag-uutos sa mga pederal na ahensya na maglapat ng mga patch para sa pagpapagaan ng mga potensyal na banta.
Ang pag-target sa mga edge na device ay nananatiling isang pinapaboran na vector ng pag-atake para sa mga bihasang aktor ng pagbabanta na nangangailangan ng kinakailangang oras at mapagkukunan upang tuklasin ang mga bagong kahinaan.
Dahil sa mga mapagkukunang kinakailangan upang bumuo at mapagsamantalahan ang gayong kahinaan, ang likas na katangian ng mga target na biktima, at ang ipinakitang kakayahan sa pag-install ng Python backdoor at paglusot sa mga network ng biktima, malaki ang posibilidad na ang UTA0218 ay isang aktor ng pagbabanta na suportado ng estado.
