Уразливість CVE-2024-3400
З 26 березня 2024 року зловмисники користуються нещодавно виявленою вразливістю нульового дня в програмному забезпеченні PAN-OS Palo Alto Networks. Дослідники назвали операцію «Опівнічне затемнення» і пов’язують цю діяльність з одним невідомим загрозником.
Уразливість, відома як CVE-2024-3400 і оцінена за оцінкою CVSS 10,0, є помилкою впровадження команди. Це дозволяє неавтентифікованим хакерам виконувати довільний код із привілеями root на уражених брандмауерах. Примітно, що ця проблема стосується лише конфігурацій PAN-OS 10.2, PAN-OS 11.0 і PAN-OS 11.1 із увімкненим шлюзом GlobalProtect і телеметрією пристрою.
Зміст
Зловмисники використовують вразливість CVE-2024-3400, щоб розповсюдити зловмисне програмне забезпечення для бекдорів
Операція MidnightEclipse передбачає використання вразливості для встановлення завдання cron, яке виконується щохвилини, отримує команди із зовнішнього сервера ('172.233.228.93/policy' або '172.233.228.93/patch') і запускає їх через оболонку bash.
Повідомляється, що зловмисники вручну керували списком контролю доступу (ACL) для сервера Command-and-Control (C2), гарантуючи, що лише комунікаційний пристрій може отримати до нього доступ.
Хоча точна функція команди залишається незрозумілою, дослідники, які відстежують використання CVE-2024-3400, підозрюють, що вона служить механізмом доставки для бекдору на основі Python, який отримав назву UPSTYLE. Цей бекдор розміщено на окремому сервері ('144.172.79.92' і 'nhdata.s3-us-west-2.amazonaws.com').
Файл Python призначений для створення та виконання іншого сценарію Python ('system.pth'), який, у свою чергу, декодує та запускає вбудований бекдор-компонент, відповідальний за виконання команд зловмисника. Результати цих операцій реєструються у файлі під назвою "sslvpn_ngx_error.log", тоді як інший файл під назвою "bootstrap.min.css" записує додаткові дії.
Зловмисники прагнуть отримати конфіденційну інформацію із заражених пристроїв
Примітним аспектом ланцюжка атак є використання легітимних файлів, пов’язаних із брандмауером, як для отримання команд, так і для реєстрації результатів:
- /var/log/pan/sslvpn_ngx_error.log
- /var/appweb/sslvpndocs/global-protect/portal/css/bootstrap.min.css
Щоб записати команди в журнал помилок веб-сервера, суб’єкт загрози створює певні мережеві запити, націлені на неіснуючу веб-сторінку з певним шаблоном. Згодом бекдор сканує файл журналу на наявність рядків, які відповідають попередньо визначеному регулярному виразу ('img[([a-zA-Z0-9+/=]+)]'), щоб декодувати та виконувати вбудовані команди.
Крім того, сценарій породжує новий потік для виконання функції під назвою «відновлення». Ця функція відновлює оригінальний вміст і час доступу/модифікації файлу bootstrap.min.css після 15-секундної затримки, ефективно стираючи сліди результатів команд.
Схоже, що основною метою є мінімізація доказів виконання команди, вимагаючи вилучення результатів протягом 15 секунд перед перезаписом файлу.
Дослідники спостерігали, як зловмисник дистанційно використовує брандмауер для встановлення зворотної оболонки, отримання додаткових інструментів, проникнення у внутрішні мережі та, зрештою, вилучення даних. Точний масштаб кампанії залишається невідомим. Актор отримав назву UTA0218, демонструючи розширені можливості та швидке виконання, що вказує на вмілого виконавця загроз із заздалегідь визначеною стратегією для досягнення своїх цілей.
Спочатку UTA0218 зосереджувався на отриманні резервних ключів DPAPI домену та націлюванні облікових даних активного каталогу для отримання файлу NTDS.DIT. Вони також намагалися скомпрометувати робочі станції користувачів, щоб викрасти збережені файли cookie, дані для входу та ключі DPAPI.
Організаціям рекомендується стежити за ознаками внутрішнього бокового руху.
CISA попереджає про вразливість CVE-2024-3400
Події навколо вразливості CVE-2024-3400 спонукали Агентство з кібербезпеки та безпеки інфраструктури США (CISA) включити недолік у свій каталог Known Exploited Vulnerabilities (KEV), зобов’язавши федеральні агентства застосовувати виправлення для пом’якшення потенційних загроз.
Націлювання на периферійні пристрої залишається улюбленим вектором атаки для кваліфікованих учасників загроз, яким потрібен час і ресурси для дослідження нових вразливостей.
Враховуючи ресурси, необхідні для розробки та використання такої вразливості, характер цільових жертв і продемонстровані можливості встановлення бекдора Python і проникнення в мережі жертви, дуже ймовірно, що UTA0218 є загрозою, яку підтримує держава.
