آسیب پذیری CVE-2024-3400
از 26 مارس 2024، عوامل تهدید از یک آسیبپذیری روز صفر جدید در نرمافزار PAN-OS شبکههای Palo Alto استفاده میکنند. این فعالیت که توسط محققین عملیات Midnight Eclipse نامگذاری شده است به یک عامل تهدید ناشناس نسبت داده می شود.
این آسیبپذیری که با نام CVE-2024-3400 شناخته میشود و با امتیاز CVSS 10.0 رتبهبندی شده است، یک نقص تزریق فرمان است. این به هکرهای احراز هویت نشده اجازه می دهد تا کد دلخواه را با امتیازات ریشه روی فایروال های آسیب دیده اجرا کنند. قابل ذکر است، این مشکل تنها روی پیکربندیهای PAN-OS 10.2، PAN-OS 11.0 و PAN-OS 11.1 با درگاه GlobalProtect و تله متری دستگاه فعال است.
فهرست مطالب
مهاجمان از آسیبپذیری CVE-2024-3400 برای ارائه یک بدافزار Backdoor سوء استفاده میکنند.
عملیات MidnightEclipse شامل استفاده از آسیبپذیری برای ایجاد یک کار cron که هر دقیقه اجرا میشود، واکشی دستورات از یک سرور خارجی ('172.233.228.93/policy» یا «172.233.228.93/patch») و اجرای آنها از طریق پوسته bash است.
گزارش شده است که مهاجمان به صورت دستی یک لیست کنترل دسترسی (ACL) را برای سرور Command-and-Control (C2) کنترل کرده اند و اطمینان حاصل می کنند که فقط دستگاه ارتباطی می تواند به آن دسترسی داشته باشد.
در حالی که عملکرد دقیق این فرمان نامشخص است، گمان می رود که به عنوان مکانیزم تحویل یک درب پشتی مبتنی بر پایتون با نام UPSTYLE توسط محققانی که بهره برداری از CVE-2024-3400 را دنبال می کنند، عمل کند. این درب پشتی بر روی یک سرور جداگانه ('144.172.79.92' و 'nhdata.s3-us-west-2.amazonaws.com') میزبانی می شود.
فایل پایتون برای ایجاد و اجرای اسکریپت پایتون دیگری ('system.pth') طراحی شده است، که به نوبه خود مولفه درپشتی تعبیه شده را که مسئول اجرای دستورات عامل تهدید است رمزگشایی و راه اندازی می کند. نتایج این عملیات در فایلی به نام 'sslvpn_ngx_error.log' ثبت می شود، در حالی که فایل دیگری به نام 'bootstrap.min.css' فعالیت های اضافی را ثبت می کند.
مهاجمان به دنبال جمع آوری اطلاعات حساس از دستگاه های آلوده هستند
یکی از جنبه های قابل توجه زنجیره حمله، استفاده از فایل های قانونی مرتبط با فایروال برای استخراج دستورات و ثبت نتایج است:
- /var/log/pan/sslvpn_ngx_error.log
- /var/appweb/sslvpndocs/global-protect/portal/css/bootstrap.min.css
برای نوشتن دستورات در گزارش خطای سرور وب، عامل تهدید درخواست های شبکه خاصی را ایجاد می کند که یک صفحه وب موجود را با یک الگوی خاص هدف قرار می دهد. متعاقباً، درب پشتی فایل گزارش را برای خطوطی که با عبارت منظم از پیش تعریف شده ('img[([a-zA-Z0-9+/=]+)] مطابقت دارند اسکن می کند تا دستورات تعبیه شده را رمزگشایی و اجرا کند.
علاوه بر این، اسکریپت یک رشته جدید برای اجرای تابعی به نام "بازیابی" ایجاد می کند. این تابع، محتوای اصلی و زمانهای دسترسی/تغییر شده فایل bootstrap.min.css را پس از 15 ثانیه تأخیر بازیابی میکند و به طور موثر رد خروجیهای فرمان را پاک میکند.
به نظر می رسد هدف اصلی به حداقل رساندن شواهد اجرای دستور است که نیاز به استخراج نتایج در 15 ثانیه قبل از بازنویسی فایل دارد.
محققان مشاهده کرده اند که عامل تهدید از راه دور از فایروال برای ایجاد یک پوسته معکوس، دستیابی به ابزارهای اضافی، نفوذ به شبکه های داخلی و در نهایت استخراج داده ها استفاده می کند. دامنه دقیق این کمپین نامشخص است. این بازیگر UTA0218 لقب گرفته است که قابلیت های پیشرفته و اجرای سریع را نشان می دهد که نشان دهنده یک عامل تهدید ماهر با استراتژی از پیش تعریف شده برای دستیابی به اهداف خود است.
در ابتدا، UTA0218 روی به دست آوردن کلیدهای DPAPI پشتیبان دامنه و هدف قرار دادن اعتبار دایرکتوری فعال برای به دست آوردن فایل NTDS.DIT تمرکز کرد. آنها همچنین به دنبال به خطر انداختن ایستگاه های کاری کاربر برای سرقت کوکی های ذخیره شده، داده های ورود و کلیدهای DPAPI بودند.
به سازمان ها توصیه می شود که از نظر علائم حرکت جانبی داخلی نظارت کنند.
CISA درباره آسیبپذیری CVE-2024-3400 هشدار میدهد
تحولات پیرامون آسیبپذیری CVE-2024-3400، آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) را بر آن داشت تا این نقص را در فهرست آسیبپذیریهای مورد سوء استفاده شناخته شده (KEV) قرار دهد و آژانسهای فدرال را ملزم به اعمال وصلههایی برای کاهش تهدیدات احتمالی کند.
دستگاههای لبهی هدف، یک بردار حمله مطلوب برای بازیگران تهدید ماهر است که به زمان و منابع لازم برای کشف آسیبپذیریهای جدید نیاز دارند.
با توجه به منابع مورد نیاز برای توسعه و بهره برداری از چنین آسیب پذیری، ماهیت قربانیان هدف، و قابلیت های نشان داده شده در نصب درب پشتی پایتون و نفوذ به شبکه های قربانی، بسیار محتمل است که UTA0218 یک عامل تهدید مورد حمایت دولت باشد.
