Vulnerabilitat CVE-2024-3400
Des del 26 de març de 2024, els actors de l'amenaça s'han aprofitat d'una vulnerabilitat de dia zero recentment revelada al programari PAN-OS de Palo Alto Networks. Els investigadors, anomenada Operació MidnightEclipse, aquesta activitat s'atribueix a un únic actor d'amenaça no identificat.
La vulnerabilitat, coneguda com CVE-2024-3400 i valorada amb una puntuació CVSS de 10,0, és un error d'injecció de comandaments. Permet als pirates informàtics no autenticats executar codi arbitrari amb privilegis d'arrel als tallafocs afectats. En particular, aquest problema només afecta les configuracions PAN-OS 10.2, PAN-OS 11.0 i PAN-OS 11.1 amb la passarel·la GlobalProtect i la telemetria del dispositiu habilitats.
Taula de continguts
Els atacants exploten la vulnerabilitat CVE-2024-3400 per oferir un programari maliciós de porta posterior
L'operació MidnightEclipse implica aprofitar la vulnerabilitat per establir una tasca cron que s'executa cada minut, obtenint ordres d'un servidor extern ('172.233.228.93/policy' o '172.233.228.93/patch') i executant-les mitjançant l'intèrpret d'ordres bash.
Segons els informes, els atacants han controlat manualment una llista de control d'accés (ACL) per al servidor Command-and-Control (C2), assegurant que només el dispositiu que es comunica pugui accedir-hi.
Tot i que la funció precisa de l'ordre no està clara, se sospita que serveix com a mecanisme de lliurament per a una porta posterior basada en Python anomenada UPSTYLE pels investigadors que fan el seguiment de l'explotació de CVE-2024-3400. Aquesta porta posterior està allotjada en un servidor independent ('144.172.79.92' i 'nhdata.s3-us-west-2.amazonaws.com').
El fitxer Python està dissenyat per crear i executar un altre script de Python ("system.pth"), que al seu torn descodifica i llança el component de la porta posterior incrustat responsable d'executar les ordres de l'actor de l'amenaça. Els resultats d'aquestes operacions es registren en un fitxer anomenat 'sslvpn_ngx_error.log', mentre que un altre fitxer anomenat 'bootstrap.min.css' registra activitat addicional.
Els atacants busquen recollir informació sensible dels dispositius infectats
Un aspecte notable de la cadena d'atac és la utilització de fitxers legítims associats al tallafoc tant per extreure ordres com per registrar resultats:
- /var/log/pan/sslvpn_ngx_error.log
- /var/appweb/sslvpndocs/global-protect/portal/css/bootstrap.min.css
Per escriure ordres al registre d'errors del servidor web, l'actor d'amenaça elabora sol·licituds de xarxa específiques dirigides a una pàgina web inexistent amb un patró determinat. Posteriorment, la porta posterior escaneja el fitxer de registre per buscar línies que coincideixin amb una expressió regular predefinida ('img[([a-zA-Z0-9+/=]+)]') per descodificar i executar ordres incrustades.
A més, l'script genera un fil nou per executar una funció anomenada "restaurar". Aquesta funció restaura el contingut original i els temps d'accés/modificació del fitxer bootstrap.min.css després d'un retard de 15 segons, esborrant eficaçment els rastres de les sortides d'ordres.
L'objectiu principal sembla ser minimitzar l'evidència d'execució d'ordres, requerint l'exfiltració dels resultats en 15 segons abans de sobreescriure el fitxer.
Els investigadors han observat que l'actor de l'amenaça explota de forma remota el tallafoc per establir un shell invers, adquirir eines addicionals, penetrar en xarxes internes i, finalment, extreure dades. L'abast exacte de la campanya segueix sent incert. L'actor ha estat batejat com UTA0218, mostrant capacitats avançades i una execució ràpida indicativa d'un actor d'amenaces hàbil amb una estratègia predefinida per assolir els seus objectius.
Inicialment, UTA0218 es va centrar en l'adquisició de claus DPAPI de còpia de seguretat del domini i en l'orientació de les credencials del directori actiu per obtenir el fitxer NTDS.DIT. També van intentar comprometre les estacions de treball dels usuaris per robar galetes desades, dades d'inici de sessió i claus DPAPI.
Es recomana a les organitzacions que vigilin els signes de moviment lateral intern.
CISA adverteix sobre la vulnerabilitat CVE-2024-3400
Els desenvolupaments al voltant de la vulnerabilitat CVE-2024-3400 van fer que l'Agència de Seguretat Cibernètica i Seguretat de la Infraestructura (CISA) dels Estats Units inclogués la fallada al seu catàleg de vulnerabilitats explotades conegudes (KEV), obligant a les agències federals a aplicar pegats per mitigar amenaces potencials.
L'orientació als dispositius de punta continua sent un vector d'atac preferit per als actors d'amenaces qualificats que necessiten el temps i els recursos necessaris per explorar noves vulnerabilitats.
Tenint en compte els recursos necessaris per desenvolupar i explotar aquesta vulnerabilitat, la naturalesa de les víctimes apuntades i les capacitats demostrades per instal·lar la porta posterior de Python i infiltrar-se en xarxes de víctimes, és molt probable que UTA0218 sigui un actor d'amenaça recolzat per l'estat.
