CVE-2024-3400 漏洞

自 2024 年 3 月 26 日起，威胁行为者一直在利用 Palo Alto Networks PAN-OS 软件中新发现的零日漏洞。研究人员将这一活动称为“午夜日蚀行动”，认为是单个身份不明的威胁行为者所为。

该漏洞名为 CVE-2024-3400，CVSS 评分为 10.0，是一个命令注入漏洞。它允许未经身份验证的黑客在受影响的防火墙上以 root 权限执行任意代码。值得注意的是，此问题仅影响启用了 GlobalProtect 网关和设备遥测的 PAN-OS 10.2、PAN-OS 11.0 和 PAN-OS 11.1 配置。

攻击者利用 CVE-2024-3400 漏洞传播后门恶意软件

MidnightEclipse 操作利用该漏洞建立每分钟执行一次的 cron 作业，从外部服务器（“172.233.228.93/policy”或“172.233.228.93/patch”）获取命令并通过 bash shell 运行它们。

据报道，攻击者手动控制了命令和控制 (C2) 服务器的访问控制列表 (ACL)，确保只有通信设备可以访问它。

虽然该命令的具体功能尚不清楚，但研究人员怀疑它是一种基于 Python 的后门的传递机制，该后门被追踪 CVE-2024-3400 漏洞利用的研究人员称为 UPSTYLE。此后门托管在单独的服务器上（“144.172.79.92”和“nhdata.s3-us-west-2.amazonaws.com”）。

该 Python 文件旨在创建和执行另一个 Python 脚本（“system.pth”），该脚本反过来解码并启动负责执行威胁行为者命令的嵌入式后门组件。这些操作的结果记录在名为“sslvpn_ngx_error.log”的文件中，而另一个名为“bootstrap.min.css”的文件则记录其他活动。

攻击者试图从受感染的设备中获取敏感信息

攻击链的一个值得注意的方面是利用与防火墙相关的合法文件来提取命令和记录结果：

• /var/log/pan/sslvpn_ngx_error.log
• /var/appweb/sslvpndocs/global-protect/portal/css/bootstrap.min.css

为了将命令写入 Web 服务器错误日志，威胁行为者会针对具有特定模式的不存在网页制作特定的网络请求。随后，后门会扫描日志文件以查找与预定义正则表达式 ('img[([a-zA-Z0-9+/=]+)]') 匹配的行，以解码并执行嵌入的命令。

此外，该脚本还会生成一个新线程来执行名为“restore”的函数。该函数会在 15 秒的延迟后恢复 bootstrap.min.css 文件的原始内容和访问/修改时间，从而有效地消除命令输出的痕迹。

主要目标似乎是尽量减少命令执行的证据，要求在文件覆盖之前 15 秒内泄露结果。

研究人员观察到威胁行为者远程利用防火墙建立反向 shell、获取其他工具、渗透内部网络并最终提取数据。该活动的确切范围仍不确定。该行为者被称为 UTA0218，展示了先进的能力和快速的执行力，表明他是一个熟练的威胁行为者，并有预先定义的策略来实现他们的目标。

最初，UTA0218 专注于获取域备份 DPAPI 密钥并瞄准活动目录凭据以获取 NTDS.DIT 文件。他们还试图入侵用户工作站以窃取已保存的 cookie、登录数据和 DPAPI 密钥。

建议组织监控内部横向移动的迹象。

CISA 就 CVE-2024-3400 漏洞发出警告

CVE-2024-3400 漏洞的发展促使美国网络安全和基础设施安全局 (CISA) 将该漏洞列入其已知利用漏洞 (KEV) 目录，要求联邦机构应用补丁以减轻潜在威胁。

对于需要必要时间和资源来探索新漏洞的熟练威胁行为者来说，针对边缘设备仍然是首选的攻击媒介。

考虑到开发和利用此类漏洞所需的资源、目标受害者的性质以及安装 Python 后门和渗透受害者网络的能力，UTA0218 很有可能是一个受国家支持的威胁行为者。