CVE-2024-3400 भेद्यता

26 मार्च, 2024 से, खतरा पैदा करने वाले लोग पालो ऑल्टो नेटवर्क्स PAN-OS सॉफ़्टवेयर में हाल ही में सामने आई ज़ीरो-डे भेद्यता का फ़ायदा उठा रहे हैं। शोधकर्ताओं द्वारा ऑपरेशन मिडनाइट एक्लिप्स नाम दिया गया, इस गतिविधि का श्रेय एक अज्ञात खतरा पैदा करने वाले व्यक्ति को दिया जाता है।

CVE-2024-3400 के नाम से जानी जाने वाली यह भेद्यता, जिसे CVSS स्कोर 10.0 दिया गया है, एक कमांड इंजेक्शन दोष है। यह अप्रमाणित हैकर्स को प्रभावित फ़ायरवॉल पर रूट विशेषाधिकारों के साथ मनमाना कोड निष्पादित करने की अनुमति देता है। उल्लेखनीय रूप से, यह समस्या केवल PAN-OS 10.2, PAN-OS 11.0 और PAN-OS 11.1 कॉन्फ़िगरेशन को प्रभावित करती है जिसमें GlobalProtect गेटवे और डिवाइस टेलीमेट्री सक्षम है।

हमलावर CVE-2024-3400 की कमज़ोरी का फ़ायदा उठाकर बैकडोर मैलवेयर फैलाते हैं

ऑपरेशन मिडनाइट एक्लिप्स में भेद्यता का लाभ उठाकर एक क्रॉन जॉब स्थापित करना शामिल है जो हर मिनट निष्पादित होता है, बाहरी सर्वर ('172.233.228.93/policy' या '172.233.228.93/patch') से कमांड प्राप्त करता है और उन्हें बैश शेल के माध्यम से चलाता है।

हमलावरों ने कथित तौर पर कमांड-एंड-कंट्रोल (C2) सर्वर के लिए एक्सेस कंट्रोल लिस्ट (ACL) को मैन्युअल रूप से नियंत्रित किया है, जिससे यह सुनिश्चित हो सके कि केवल संचार करने वाला डिवाइस ही इस तक पहुंच सके।

हालांकि कमांड का सटीक कार्य अभी भी अस्पष्ट है, लेकिन यह संदेह है कि यह CVE-2024-3400 के शोषण पर नज़र रखने वाले शोधकर्ताओं द्वारा UPSTYLE नामक पायथन-आधारित बैकडोर के लिए डिलीवरी तंत्र के रूप में काम करता है। यह बैकडोर एक अलग सर्वर ('144.172.79.92' और 'nhdata.s3-us-west-2.amazonaws.com') पर होस्ट किया गया है।

पायथन फ़ाइल को एक और पायथन स्क्रिप्ट ('system.pth') बनाने और निष्पादित करने के लिए डिज़ाइन किया गया है, जो बदले में खतरे वाले अभिनेता के आदेशों को निष्पादित करने के लिए जिम्मेदार एम्बेडेड बैकडोर घटक को डिकोड और लॉन्च करता है। इन ऑपरेशनों के परिणाम 'sslvpn_ngx_error.log' नामक फ़ाइल में लॉग किए जाते हैं, जबकि 'bootstrap.min.css' नामक एक अन्य फ़ाइल अतिरिक्त गतिविधि रिकॉर्ड करती है।

हमलावर संक्रमित डिवाइस से संवेदनशील जानकारी प्राप्त करना चाहते हैं

आक्रमण श्रृंखला का एक उल्लेखनीय पहलू आदेशों को निकालने और परिणामों को लॉग करने के लिए फ़ायरवॉल से संबद्ध वैध फ़ाइलों का उपयोग है:

• /var/log/pan/sslvpn_ngx_error.log
• /var/appweb/sslvpndocs/global-protect/portal/css/bootstrap.min.css

वेब सर्वर त्रुटि लॉग में कमांड लिखने के लिए, खतरा अभिनेता एक विशेष पैटर्न के साथ एक गैर-मौजूद वेब पेज को लक्षित करने वाले विशिष्ट नेटवर्क अनुरोधों को तैयार करता है। इसके बाद, बैकडोर एम्बेडेड कमांड को डीकोड करने और निष्पादित करने के लिए पूर्वनिर्धारित नियमित अभिव्यक्ति ('img[([a-zA-Z0-9+/=]+)]') से मेल खाने वाली लाइनों के लिए लॉग फ़ाइल को स्कैन करता है।

इसके अतिरिक्त, स्क्रिप्ट 'रिस्टोर' नामक फ़ंक्शन को निष्पादित करने के लिए एक नया थ्रेड उत्पन्न करती है। यह फ़ंक्शन bootstrap.min.css फ़ाइल की मूल सामग्री और एक्सेस/संशोधित समय को 15 सेकंड की देरी के बाद पुनर्स्थापित करता है, जिससे कमांड आउटपुट के निशान प्रभावी रूप से मिट जाते हैं।

प्राथमिक उद्देश्य कमांड निष्पादन के साक्ष्य को न्यूनतम करना प्रतीत होता है, जिसके लिए फ़ाइल अधिलेखित होने से पहले 15 सेकंड के भीतर परिणामों को बाहर निकालना आवश्यक है।

शोधकर्ताओं ने पाया है कि खतरा पैदा करने वाला व्यक्ति फ़ायरवॉल का दूर से ही दुरुपयोग करके रिवर्स शेल स्थापित करता है, अतिरिक्त उपकरण प्राप्त करता है, आंतरिक नेटवर्क में घुसपैठ करता है और अंततः डेटा निकालता है। अभियान का सटीक दायरा अनिश्चित बना हुआ है। इस अभिनेता को UTA0218 नाम दिया गया है, जो अपने लक्ष्यों को प्राप्त करने के लिए पूर्वनिर्धारित रणनीति के साथ एक कुशल खतरा पैदा करने वाले व्यक्ति की उन्नत क्षमताओं और तेजी से निष्पादन का संकेत देता है।

शुरुआत में, UTA0218 ने डोमेन बैकअप DPAPI कुंजियाँ प्राप्त करने और NTDS.DIT फ़ाइल प्राप्त करने के लिए सक्रिय निर्देशिका क्रेडेंशियल्स को लक्षित करने पर ध्यान केंद्रित किया। उन्होंने सहेजे गए कुकीज़, लॉगिन डेटा और DPAPI कुंजियों को चुराने के लिए उपयोगकर्ता वर्कस्टेशन से समझौता करने की भी कोशिश की।

संगठनों को आंतरिक पार्श्विक हलचल के संकेतों पर नजर रखने की सलाह दी जाती है।

CISA ने CVE-2024-3400 भेद्यता के बारे में चेतावनी दी

CVE-2024-3400 भेद्यता के आसपास के घटनाक्रमों ने अमेरिकी साइबर सुरक्षा और अवसंरचना सुरक्षा एजेंसी (CISA) को अपने ज्ञात शोषित भेद्यता (KEV) सूची में दोष को शामिल करने के लिए प्रेरित किया, जिससे संघीय एजेंसियों को संभावित खतरों को कम करने के लिए पैच लागू करने का आदेश दिया गया।

एज डिवाइसों को लक्ष्य बनाना कुशल खतरा पैदा करने वालों के लिए पसंदीदा आक्रमण माध्यम बना हुआ है, जिन्हें नई कमजोरियों का पता लगाने के लिए आवश्यक समय और संसाधनों की आवश्यकता होती है।

ऐसी भेद्यता को विकसित करने और उसका दोहन करने के लिए आवश्यक संसाधनों, लक्षित पीड़ितों की प्रकृति, तथा पायथन बैकडोर स्थापित करने और पीड़ित नेटवर्क में घुसपैठ करने की प्रदर्शित क्षमताओं को देखते हुए, यह अत्यधिक संभावना है कि UTA0218 एक राज्य समर्थित खतरा अभिनेता है।