CVE-2024-3400 Sårbarhed
Siden den 26. marts 2024 har trusselsaktører draget fordel af en nyligt afsløret nul-dages sårbarhed i Palo Alto Networks PAN-OS-software. Kaldt Operation Midnight Eclipse af forskere, denne aktivitet tilskrives en enkelt uidentificeret trusselsaktør.
Sårbarheden, kendt som CVE-2024-3400 og vurderet med en CVSS-score på 10,0, er en kommandoindsprøjtningsfejl. Det giver ikke-autentificerede hackere mulighed for at udføre vilkårlig kode med root-privilegier på berørte firewalls. Dette problem påvirker især kun PAN-OS 10.2-, PAN-OS 11.0- og PAN-OS 11.1-konfigurationer med GlobalProtect-gateway og enhedstelemetri aktiveret.
Indholdsfortegnelse
Angribere udnytter CVE-2024-3400-sårbarheden til at levere en bagdørsmalware
Operation MidnightEclipse involverer udnyttelse af sårbarheden til at etablere et cron-job, der udføres hvert minut, hente kommandoer fra en ekstern server ('172.233.228.93/policy' eller '172.233.228.93/patch') og køre dem via bash-skallen.
Angriberne har angiveligt manuelt styret en adgangskontrolliste (ACL) til Command-and-Control (C2)-serveren, hvilket sikrer, at kun den kommunikerende enhed kan få adgang til den.
Selvom den præcise funktion af kommandoen forbliver uklar, er den mistænkt for at fungere som en leveringsmekanisme for en Python-baseret bagdør kaldet UPSTYLE af forskere, der sporer udnyttelsen af CVE-2024-3400. Denne bagdør hostes på en separat server ('144.172.79.92' og 'nhdata.s3-us-west-2.amazonaws.com').
Python-filen er designet til at skabe og udføre et andet Python-script ('system.pth'), som igen afkoder og starter den indlejrede bagdørskomponent, der er ansvarlig for at udføre trusselsaktørens kommandoer. Resultaterne af disse operationer logges i en fil med navnet 'sslvpn_ngx_error.log', mens en anden fil med navnet 'bootstrap.min.css' registrerer yderligere aktivitet.
Angribere søger at høste følsomme oplysninger fra inficerede enheder
Et bemærkelsesværdigt aspekt af angrebskæden er brugen af legitime filer forbundet med firewallen til både at udtrække kommandoer og logge resultater:
- /var/log/pan/sslvpn_ngx_error.log
- /var/appweb/sslvpndocs/global-protect/portal/css/bootstrap.min.css
For at skrive kommandoer til webserverens fejllog, udarbejder trusselsaktøren specifikke netværksanmodninger rettet mod en ikke-eksisterende webside med et bestemt mønster. Efterfølgende scanner bagdøren logfilen for linjer, der matcher et foruddefineret regulært udtryk ('img[([a-zA-Z0-9+/=]+)]') for at afkode og udføre indlejrede kommandoer.
Derudover afføder scriptet en ny tråd for at udføre en funktion ved navn 'gendan'. Denne funktion gendanner det originale indhold og adgang/ændrede tidspunkter for filen bootstrap.min.css efter en 15-sekunders forsinkelse, hvilket effektivt sletter spor af kommandoudgange.
Det primære mål ser ud til at være at minimere beviser på kommandoudførelse, hvilket kræver eksfiltrering af resultater inden for 15 sekunder før filoverskrivning.
Forskere har observeret trusselsaktøren fjernudnytte firewallen til at etablere en omvendt skal, erhverve yderligere værktøjer, trænge ind i interne netværk og i sidste ende udtrække data. Det præcise omfang af kampagnen er fortsat usikkert. Skuespilleren er blevet døbt UTA0218, der viser avancerede kapaciteter og hurtig udførelse, hvilket indikerer en dygtig trusselsaktør med en foruddefineret strategi for at nå deres mål.
Oprindeligt fokuserede UTA0218 på at anskaffe DPAPI-nøgler til sikkerhedskopiering af domæne og målrette legitimationsoplysninger til Active Directory for at få NTDS.DIT-filen. De forsøgte også at kompromittere brugerarbejdsstationer for at stjæle gemte cookies, logindata og DPAPI-nøgler.
Organisationer rådes til at overvåge for tegn på indre laterale bevægelser.
CISA advarer om CVE-2024-3400-sårbarheden
Udviklingen omkring CVE-2024-3400-sårbarheden fik det amerikanske cybersikkerheds- og infrastruktursikkerhedsagentur (CISA) til at inkludere fejlen i deres KEV-katalog (Kendt udnyttede sårbarheder), hvilket beordrede føderale agenturer til at anvende patches til at afbøde potentielle trusler.
Målrettede enheder er fortsat en yndet angrebsvektor for dygtige trusselsaktører, der har brug for den nødvendige tid og ressourcer til at udforske nye sårbarheder.
I betragtning af de ressourcer, der kræves for at udvikle og udnytte en sådan sårbarhed, karakteren af målrettede ofre og de demonstrerede evner til at installere Python-bagdøren og infiltrerende offernetværk, er det højst sandsynligt, at UTA0218 er en statsstøttet trusselsaktør.
