CVE-2024-3400 Güvenlik Açığı
26 Mart 2024'ten bu yana tehdit aktörleri, Palo Alto Networks PAN-OS yazılımında yeni ortaya çıkan sıfır gün güvenlik açığından yararlanıyor. Araştırmacılar tarafından MidnightEclipse Operasyonu olarak adlandırılan bu faaliyet, kimliği belirlenemeyen tek bir tehdit aktörüne atfediliyor.
CVE-2024-3400 olarak bilinen ve CVSS puanı 10,0 olarak derecelendirilen güvenlik açığı, bir komut ekleme hatasıdır. Kimliği doğrulanmamış bilgisayar korsanlarının, etkilenen güvenlik duvarlarında kök ayrıcalıklarıyla rastgele kod yürütmesine olanak tanır. Özellikle, bu sorun yalnızca GlobalProtect ağ geçidi ve cihaz telemetrisi etkinleştirilmiş PAN-OS 10.2, PAN-OS 11.0 ve PAN-OS 11.1 yapılandırmalarını etkilemektedir.
İçindekiler
Saldırganlar, Arka Kapı Kötü Amaçlı Yazılım Sunmak İçin CVE-2024-3400 Güvenlik Açıklarından Yararlanıyor
MidnightEclipse Operasyonu, her dakika yürütülen bir cron işi oluşturmak için güvenlik açığından yararlanmayı, harici bir sunucudan komutlar almayı ('172.233.228.93/policy' veya '172.233.228.93/patch') ve bunları bash kabuğu aracılığıyla çalıştırmayı içerir.
Saldırganların, Komuta ve Kontrol (C2) sunucusu için bir erişim kontrol listesini (ACL) manuel olarak kontrol ettiği ve yalnızca iletişim kuran cihazın bu listeye erişebilmesini sağladığı bildirildi.
Komutun kesin işlevi belirsizliğini korurken, CVE-2024-3400'ün kötüye kullanımını izleyen araştırmacılar tarafından UPSTYLE olarak adlandırılan Python tabanlı bir arka kapı için bir dağıtım mekanizması olarak hizmet ettiğinden şüpheleniliyor. Bu arka kapı ayrı bir sunucuda barındırılmaktadır ('144.172.79.92' ve 'nhdata.s3-us-west-2.amazonaws.com').
Python dosyası, başka bir Python komut dosyasını ('system.pth') oluşturmak ve yürütmek için tasarlanmıştır; bu komut dosyası, tehdit aktörünün komutlarını yürütmekten sorumlu gömülü arka kapı bileşeninin kodunu çözer ve başlatır. Bu işlemlerin sonuçları 'sslvpn_ngx_error.log' adlı bir dosyaya kaydedilirken, 'bootstrap.min.css' adlı başka bir dosya da ek etkinlikleri kaydeder.
Saldırganlar, Etkilenen Cihazlardan Hassas Bilgiler Toplamaya Çalışıyor
Saldırı zincirinin dikkate değer bir yönü, güvenlik duvarı ile ilişkili yasal dosyaların hem komutların çıkarılması hem de sonuçların günlüğe kaydedilmesi için kullanılmasıdır:
- /var/log/pan/sslvpn_ngx_error.log
- /var/appweb/sslvpndocs/global-protect/portal/css/bootstrap.min.css
Tehdit aktörü, Web sunucusu hata günlüğüne komutlar yazmak için, belirli bir düzene sahip, var olmayan bir web sayfasını hedefleyen belirli ağ istekleri oluşturur. Daha sonra, arka kapı, gömülü komutların kodunu çözmek ve yürütmek için önceden tanımlanmış bir normal ifadeyle ('img[([a-zA-Z0-9+/=]+)]') eşleşen satırlar için günlük dosyasını tarar.
Ek olarak, komut dosyası 'geri yükleme' adlı bir işlevi yürütmek için yeni bir iş parçacığı oluşturur. Bu işlev, 15 saniyelik bir gecikmeden sonra bootstrap.min.css dosyasının orijinal içeriğini ve erişim/değiştirilme zamanlarını geri yükler ve komut çıktılarının izlerini etkili bir şekilde siler.
Birincil amaç, dosyanın üzerine yazılmadan önce 15 saniye içinde sonuçların dışarı sızmasını gerektiren komut yürütme kanıtlarını en aza indirmek gibi görünüyor.
Araştırmacılar, tehdit aktörünün ters kabuk oluşturmak, ek araçlar edinmek, dahili ağlara sızmak ve sonuçta veri çıkarmak için güvenlik duvarını uzaktan kullandığını gözlemledi. Kampanyanın tam kapsamı belirsizliğini koruyor. Aktör, hedeflerine ulaşmak için önceden tanımlanmış bir stratejiye sahip, yetenekli bir tehdit aktörünün gelişmiş yetenekleri ve hızlı uygulama göstergesi olan UTA0218 olarak adlandırıldı.
Başlangıçta UTA0218, etki alanı yedekleme DPAPI anahtarlarını almaya ve NTDS.DIT dosyasını elde etmek için aktif dizin kimlik bilgilerini hedeflemeye odaklandı. Ayrıca kayıtlı çerezleri, oturum açma verilerini ve DPAPI anahtarlarını çalmak için kullanıcı iş istasyonlarını tehlikeye atmaya çalıştılar.
Kuruluşlara iç yanal hareket belirtilerini izlemeleri tavsiye edilir.
CISA, CVE-2024-3400 Güvenlik Açığı Konusunda Uyardı
CVE-2024-3400 Güvenlik Açığı etrafındaki gelişmeler, ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı'nın (CISA), kusuru Bilinen Açıklardan Yararlanan Güvenlik Açıkları (KEV) kataloğuna dahil etmesine ve federal kurumların potansiyel tehditleri azaltmak için yamalar uygulamasını zorunlu kılmasına neden oldu.
Uç cihazları hedeflemek, yeni güvenlik açıklarını keşfetmek için gerekli zamana ve kaynaklara ihtiyaç duyan yetenekli tehdit aktörleri için tercih edilen bir saldırı vektörü olmaya devam ediyor.
Böyle bir güvenlik açığını geliştirmek ve kullanmak için gereken kaynaklar, hedeflenen kurbanların doğası ve Python arka kapısının kurulması ve kurban ağlarına sızma konusunda kanıtlanmış yetenekler göz önüne alındığında, UTA0218'in devlet destekli bir tehdit aktörü olması oldukça olasıdır.
