Multi-License Discount Quote
Cơ sở dữ liệu về mối đe dọa Vulnerability Lỗ hổng CVE-2024-3400

Lỗ hổng CVE-2024-3400

Đến năm Mezo năm Vulnerability
Dịch sang:
Tiếng Việt Nam

Kể từ ngày 26 tháng 3 năm 2024, những kẻ đe dọa đã lợi dụng lỗ hổng zero-day mới được tiết lộ trong phần mềm PAN-OS của Palo Alto Networks. Được các nhà nghiên cứu gọi là Chiến dịch MidnightEclipse, hoạt động này được cho là do một tác nhân đe dọa chưa xác định được thực hiện.

Lỗ hổng có tên CVE-2024-3400 và được đánh giá với điểm CVSS là 10,0, là một lỗ hổng chèn lệnh. Nó cho phép tin tặc không được xác thực thực thi mã tùy ý với quyền root trên tường lửa bị ảnh hưởng. Đáng chú ý, sự cố này chỉ ảnh hưởng đến cấu hình PAN-OS 10.2, PAN-OS 11.0 và PAN-OS 11.1 đã bật cổng GlobalProtect và đo từ xa thiết bị.

Kẻ tấn công khai thác lỗ hổng CVE-2024-3400 để phát tán phần mềm độc hại Backdoor

Chiến dịch MidnightEclipse liên quan đến việc tận dụng lỗ hổng bảo mật để thiết lập một công việc định kỳ thực thi mỗi phút, tìm nạp các lệnh từ máy chủ bên ngoài ('172.233.228.93/policy' hoặc '172.233.228.93/patch') và chạy chúng thông qua bash shell.

Những kẻ tấn công được cho là đã kiểm soát thủ công danh sách kiểm soát truy cập (ACL) cho máy chủ Chỉ huy và Kiểm soát (C2), đảm bảo rằng chỉ thiết bị liên lạc mới có thể truy cập vào danh sách đó.

Mặc dù chức năng chính xác của lệnh vẫn chưa rõ ràng, nhưng các nhà nghiên cứu theo dõi việc khai thác CVE-2024-3400 nghi ngờ nó đóng vai trò là cơ chế phân phối cho cửa sau dựa trên Python có tên là UPSTYLE. Backdoor này được lưu trữ trên một máy chủ riêng ('144.172.79.92' và 'nhdata.s3-us-west-2.amazonaws.com').

Tệp Python được thiết kế để tạo và thực thi một tập lệnh Python khác ('system.pth'), từ đó giải mã và khởi chạy thành phần cửa sau được nhúng chịu trách nhiệm thực thi các lệnh của tác nhân đe dọa. Kết quả của các thao tác này được ghi vào một tệp có tên 'sslvpn_ngx_error.log', trong khi một tệp khác có tên 'bootstrap.min.css' ghi lại hoạt động bổ sung.

Kẻ tấn công tìm cách thu thập thông tin nhạy cảm từ các thiết bị bị nhiễm độc

Một khía cạnh đáng chú ý của chuỗi tấn công là việc sử dụng các tệp hợp pháp được liên kết với tường lửa để trích xuất lệnh và ghi kết quả:

  • /var/log/pan/sslvpn_ngx_error.log
  • /var/appweb/sslvpndocs/global-protect/portal/css/bootstrap.min.css

Để viết lệnh vào nhật ký lỗi máy chủ Web, kẻ tấn công tạo ra các yêu cầu mạng cụ thể nhắm mục tiêu đến một trang web không tồn tại theo một mẫu cụ thể. Sau đó, cửa sau quét tệp nhật ký để tìm các dòng khớp với biểu thức chính quy được xác định trước ('img[([a-zA-Z0-9+/=]+)]') để giải mã và thực thi các lệnh nhúng.

Ngoài ra, tập lệnh còn sinh ra một luồng mới để thực thi chức năng có tên 'khôi phục'. Chức năng này khôi phục nội dung gốc và thời gian truy cập/sửa đổi của tệp bootstrap.min.css sau độ trễ 15 giây, xóa dấu vết đầu ra lệnh một cách hiệu quả.

Mục tiêu chính dường như là giảm thiểu bằng chứng về việc thực thi lệnh, yêu cầu lọc kết quả trong vòng 15 giây trước khi ghi đè tệp.

Các nhà nghiên cứu đã quan sát thấy tác nhân đe dọa khai thác tường lửa từ xa để thiết lập lớp vỏ đảo ngược, thu thập các công cụ bổ sung, xâm nhập mạng nội bộ và cuối cùng là trích xuất dữ liệu. Phạm vi chính xác của chiến dịch vẫn chưa chắc chắn. Kẻ tấn công được mệnh danh là UTA0218, thể hiện các khả năng tiên tiến và khả năng thực thi nhanh chóng, cho thấy một kẻ đe dọa lành nghề có chiến lược được xác định trước để đạt được mục tiêu của chúng.

Ban đầu, UTA0218 tập trung vào việc lấy các khóa DPAPI sao lưu miền và nhắm mục tiêu thông tin xác thực thư mục hoạt động để lấy tệp NTDS.DIT. Họ cũng tìm cách xâm nhập máy trạm của người dùng để đánh cắp cookie đã lưu, dữ liệu đăng nhập và khóa DPAPI.

Các tổ chức nên theo dõi các dấu hiệu chuyển động bên trong.

CISA cảnh báo về lỗ hổng CVE-2024-3400

Những diễn biến xung quanh Lỗ hổng CVE-2024-3400 đã khiến Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) đưa lỗ hổng này vào danh mục Các lỗ hổng bị khai thác đã biết (KEV), yêu cầu các cơ quan liên bang áp dụng các bản vá để giảm thiểu các mối đe dọa tiềm ẩn.

Nhắm mục tiêu vào các thiết bị biên vẫn là phương thức tấn công ưa thích của các tác nhân đe dọa lành nghề, những người cần thời gian và nguồn lực cần thiết để khám phá các lỗ hổng mới.

Với các nguồn lực cần thiết để phát triển và khai thác lỗ hổng như vậy, bản chất của nạn nhân được nhắm mục tiêu và khả năng đã được chứng minh trong việc cài đặt cửa sau Python và xâm nhập vào mạng nạn nhân, rất có thể UTA0218 là một tác nhân đe dọa được nhà nước hậu thuẫn.

xu hướng

Lỗ hổng CVE-2024-3094 (XZ Backdoor)

Vulnerability, Backdoors
Các nhà phân tích bảo mật gần đây đã phát hiện ra một lỗ hổng nghiêm trọng có khả năng gây hậu quả nghiêm trọng. Theo lời khuyên bảo mật khẩn cấp, hai phiên bản của công cụ nén dữ liệu được sử dụng rộng rãi, XX Utils (trước đây gọi là LZMA Utils), đã bị xâm phạm bởi mã độc. Mã này cho phép truy cập từ xa trái phép vào các hệ thống bị ảnh hưởng. Vi phạm bảo mật này, được xác định là...

Xem nhiều nhất

Lừa đảo qua email 'Geek Squad'

Phishing, Spam
39,340
Geek Squad, một nhà cung cấp dịch vụ hỗ trợ công nghệ nổi tiếng, đã trở thành nạn nhân của một trò lừa đảo lừa đảo có tên là Geek Squad Email Scam. Trò lừa đảo hỗ trợ kỹ thuật này sử dụng email giả để lừa mọi người cung cấp thông tin cá nhân của họ, chẳng hạn như chi tiết thẻ tín dụng, địa chỉ email và thậm chí cả số An sinh xã hội. Trong bài viết này, chúng ta sẽ thảo luận về trò lừa đảo, nó...
Đang tải...