CVE-2024-3400 haavatavus
Alates 26. märtsist 2024 on ohus osalejad ära kasutanud Palo Alto Networksi PAN-OS-i tarkvara äsja ilmnenud nullpäeva haavatavust. Teadlaste poolt operatsiooniks MidnightEclipse nimetatud tegevus omistatakse ühele tundmatule ohus osalejale.
CVE-2024-3400 nime all tuntud haavatavus, mille CVSS-i skoor on 10,0, on käsu sisestamise viga. See võimaldab autentimata häkkeritel käivitada mõjutatud tulemüüridel suvalist koodi juurõigustega. See probleem mõjutab ainult PAN-OS 10.2, PAN-OS 11.0 ja PAN-OS 11.1 konfiguratsioone, kus GlobalProtecti lüüs ja seadme telemeetria on lubatud.
Sisukord
Ründajad kasutavad turvaauku CVE-2024-3400 ära tagaukse pahavara edastamiseks
Operatsioon MidnightEclipse hõlmab haavatavuse ärakasutamist, et luua cron töö, mis käivitatakse iga minut, käskude toomine välisest serverist (172.233.228.93/policy või 172.233.228.93/patch) ja nende käivitamine bash-shelli kaudu.
Ründajad on väidetavalt käsitsi juhtinud Command-and-Control (C2) serveri juurdepääsukontrolli loendit (ACL), tagades, et sellele pääseb juurde ainult sideseade.
Kuigi käsu täpne funktsioon jääb ebaselgeks, kahtlustatakse, et see toimib Pythoni-põhise tagaukse edastamise mehhanismina, mille nimeks on UPSTYLE. Teadlased, kes jälgivad CVE-2024-3400 kasutamist. See tagauks on hostitud eraldi serveris ('144.172.79.92' ja "nhdata.s3-us-west-2.amazonaws.com").
Pythoni fail on loodud teise Pythoni skripti ("system.pth") loomiseks ja käivitamiseks, mis omakorda dekodeerib ja käivitab manustatud tagaukse komponendi, mis vastutab ohuteguri käskude täitmise eest. Nende toimingute tulemused logitakse faili nimega 'sslvpn_ngx_error.log', samas kui teine fail nimega 'bootstrap.min.css' salvestab täiendavaid tegevusi.
Ründajad püüavad koguda nakatunud seadmetest tundlikku teavet
Rünnakuahela tähelepanuväärne aspekt on tulemüüriga seotud seaduslike failide kasutamine nii käskude ekstraktimiseks kui ka tulemuste logimiseks:
- /var/log/pan/sslvpn_ngx_error.log
- /var/appweb/sslvpndocs/global-protect/portal/css/bootstrap.min.css
Veebiserveri vealogi käskude kirjutamiseks koostab ohutegija konkreetsed võrgupäringud, mis sihivad konkreetse mustriga olematut veebilehte. Seejärel otsib tagauks logifaili ridu, mis vastavad eelmääratletud regulaaravaldisele ('img[([a-zA-Z0-9+/=]+)]'), et dekodeerida ja käivitada manustatud käske.
Lisaks loob skript uue lõime, et käivitada funktsioon nimega "taasta". See funktsioon taastab faili bootstrap.min.css algse sisu ja juurdepääsu/muutmise ajad pärast 15-sekundilist viivitust, kustutades tõhusalt käsuväljundite jäljed.
Peamine eesmärk näib olevat käsu täitmise tõendite minimeerimine, mis nõuab tulemuste väljafiltreerimist 15 sekundi jooksul enne faili ülekirjutamist.
Teadlased on täheldanud, et ohutegija kasutab tulemüüri eemalt ära, et luua vastupidine kest, hankida täiendavaid tööriistu, tungida sisevõrkudesse ja lõpuks saada andmeid. Kampaania täpne ulatus on endiselt ebaselge. Näitlejat on nimetatud UTA0218, mis näitab täiustatud võimeid ja kiiret teostust, mis viitab oskuslikule ohunäitlejale, kellel on oma eesmärkide saavutamiseks eelnevalt määratletud strateegia.
Algselt keskendus UTA0218 domeeni varu-DPAPI-võtmete hankimisele ja aktiivse kataloogi mandaatide sihtimisele, et saada fail NTDS.DIT. Samuti püüdsid nad kahjustada kasutajate tööjaamu, et varastada salvestatud küpsiseid, sisselogimisandmeid ja DPAPI-võtmeid.
Organisatsioonidel soovitatakse jälgida sisemise külgsuunalise liikumise märke.
CISA hoiatab CVE-2024-3400 haavatavuse eest
CVE-2024-3400 haavatavusega seotud arengud ajendasid USA küberturvalisuse ja infrastruktuuri turbeagentuuri (CISA) lisama vea oma tuntud ärakasutatud haavatavuste (KEV) kataloogi, andes föderaalasutustele ülesandeks rakendada võimalike ohtude leevendamiseks plaastreid.
Ääreseadmete sihtimine on endiselt eelistatud ründevektor kogenud ohus osalejatele, kes vajavad uute haavatavuste uurimiseks vajalikku aega ja ressursse.
Arvestades sellise haavatavuse arendamiseks ja ärakasutamiseks vajalikke ressursse, sihitud ohvrite olemust ning Pythoni tagaukse installimise ja ohvrite võrkudesse imbumise tõestatud võimeid, on väga tõenäoline, et UTA0218 on riigi toetatud ohutegija.
