ភាពងាយរងគ្រោះ CVE-2024-3400
ចាប់តាំងពីថ្ងៃទី 26 ខែមីនា ឆ្នាំ 2024 មក តួអង្គគំរាមកំហែងបាននឹងកំពុងទាញយកអត្ថប្រយោជន៍ពីភាពងាយរងគ្រោះសូន្យថ្ងៃដែលទើបបង្ហាញថ្មីនៅក្នុងកម្មវិធី Palo Alto Networks PAN-OS ។ ដែលត្រូវបានគេដាក់ឈ្មោះថា Operation MidnightEclipse ដោយក្រុមអ្នកស្រាវជ្រាវ សកម្មភាពនេះត្រូវបានសន្មតថាជាតួអង្គគំរាមកំហែងដែលមិនស្គាល់អត្តសញ្ញាណតែមួយ។
ភាពងាយរងគ្រោះដែលត្រូវបានគេស្គាល់ថា CVE-2024-3400 និងបានវាយតម្លៃជាមួយនឹងពិន្ទុ CVSS នៃ 10.0 គឺជាកំហុសក្នុងការចាក់បញ្ចូលពាក្យបញ្ជា។ វាអនុញ្ញាតឱ្យពួក Hacker ដែលមិនមានការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវអាចប្រតិបត្តិកូដតាមអំពើចិត្តជាមួយនឹងសិទ្ធិជា root នៅលើជញ្ជាំងភ្លើងដែលរងផលប៉ះពាល់។ គួរកត់សម្គាល់ថាបញ្ហានេះប៉ះពាល់តែការកំណត់រចនាសម្ព័ន្ធ PAN-OS 10.2, PAN-OS 11.0, និង PAN-OS 11.1 ជាមួយនឹងការបើកដំណើរការច្រកទ្វារ GlobalProtect និងទូរលេខឧបករណ៍។
តារាងមាតិកា
អ្នកវាយប្រហារទាញយកភាពងាយរងគ្រោះ CVE-2024-3400 ដើម្បីចែកចាយមេរោគ Backdoor
ប្រតិបត្តិការ MidnightEclipse ពាក់ព័ន្ធនឹងការប្រើប្រាស់ភាពងាយរងគ្រោះ ដើម្បីបង្កើតការងារ cron ដែលប្រតិបត្តិរាល់នាទី ដោយទាញយកពាក្យបញ្ជាពីម៉ាស៊ីនមេខាងក្រៅ ('172.233.228.93/policy' ឬ '172.233.228.93/patch') និងដំណើរការពួកវាតាមរយៈ bash shell ។
អ្នកវាយប្រហារត្រូវបានគេរាយការណ៍ថាបានគ្រប់គ្រងបញ្ជីគ្រប់គ្រងការចូលដំណើរការ (ACL) ដោយដៃសម្រាប់ម៉ាស៊ីនមេ Command-and-Control (C2) ដោយធានាថាមានតែឧបករណ៍ទំនាក់ទំនងប៉ុណ្ណោះដែលអាចចូលប្រើវាបាន។
ខណៈពេលដែលមុខងារច្បាស់លាស់នៃពាក្យបញ្ជានៅតែមិនច្បាស់លាស់ វាត្រូវបានសង្ស័យថាជាយន្តការចែកចាយសម្រាប់ backdoor ដែលមានមូលដ្ឋានលើ Python ដែលមានឈ្មោះថា UPSTYLE ដោយអ្នកស្រាវជ្រាវតាមដានការកេងប្រវ័ញ្ចនៃ CVE-2024-3400 ។ backdoor នេះត្រូវបានបង្ហោះនៅលើម៉ាស៊ីនមេដាច់ដោយឡែក ('144.172.79.92' និង 'nhdata.s3-us-west-2.amazonaws.com') ។
ឯកសារ Python ត្រូវបានរចនាឡើងដើម្បីបង្កើត និងប្រតិបត្តិស្គ្រីប Python មួយផ្សេងទៀត ('system.pth') ដែលនៅក្នុងវេនធ្វើការឌិកូដ និងបើកដំណើរការសមាសធាតុ backdoor ដែលបានបង្កប់ដែលទទួលខុសត្រូវក្នុងការប្រតិបត្តិពាក្យបញ្ជារបស់តួអង្គគំរាមកំហែង។ លទ្ធផលនៃប្រតិបត្តិការទាំងនេះត្រូវបានកត់ត្រានៅក្នុងឯកសារមួយដែលមានឈ្មោះថា 'sslvpn_ngx_error.log' ខណៈពេលដែលឯកសារផ្សេងទៀតដែលមានឈ្មោះថា 'bootstrap.min.css' កត់ត្រាសកម្មភាពបន្ថែម។
អ្នកវាយប្រហារស្វែងរកការប្រមូលព័ត៌មានរសើបពីឧបករណ៍ដែលឆ្លងមេរោគ
ទិដ្ឋភាពគួរឱ្យកត់សម្គាល់នៃខ្សែសង្វាក់វាយប្រហារគឺការប្រើប្រាស់ឯកសារស្របច្បាប់ដែលភ្ជាប់ជាមួយជញ្ជាំងភ្លើងសម្រាប់ទាំងការស្រង់ចេញពាក្យបញ្ជា និងលទ្ធផលចូល៖
- /var/log/pan/sslvpn_ngx_error.log
- /var/appweb/sslvpndocs/global-protect/portal/css/bootstrap.min.css
ដើម្បីសរសេរពាក្យបញ្ជាទៅកាន់កំណត់ហេតុកំហុសរបស់ម៉ាស៊ីនមេបណ្តាញ តួអង្គគំរាមកំហែងបង្កើតសំណើបណ្តាញជាក់លាក់ដែលកំណត់គោលដៅលើទំព័របណ្ដាញដែលមិនមានជាមួយលំនាំជាក់លាក់មួយ។ ក្រោយមក backdoor ស្កេនឯកសារកំណត់ហេតុសម្រាប់បន្ទាត់ដែលត្រូវគ្នានឹងកន្សោមធម្មតាដែលបានកំណត់ជាមុន ('img[([a-zA-Z0-9+/=]+)]') ដើម្បីឌិកូដ និងប្រតិបត្តិពាក្យបញ្ជាដែលបានបង្កប់។
លើសពីនេះ ស្គ្រីបបង្កើតខ្សែស្រឡាយថ្មី ដើម្បីដំណើរការមុខងារមួយដែលមានឈ្មោះថា 'restore'។ មុខងារនេះស្ដារមាតិកាដើម និងការចូលប្រើ/កែប្រែពេលវេលានៃឯកសារ bootstrap.min.css បន្ទាប់ពីការពន្យាពេល 15 វិនាទី ដោយមានប្រសិទ្ធភាពលុបដាននៃលទ្ធផលពាក្យបញ្ជា។
គោលបំណងចម្បងហាក់ដូចជាកំពុងកាត់បន្ថយភស្តុតាងនៃការប្រតិបត្តិពាក្យបញ្ជាឱ្យតិចបំផុត ដែលទាមទារឱ្យមានការស្រង់ចេញលទ្ធផលក្នុងរយៈពេល 15 វិនាទីមុនពេលសរសេរជាន់លើឯកសារ។
ក្រុមអ្នកស្រាវជ្រាវបានសង្កេតឃើញអ្នកគំរាមកំហែងដែលប្រើប្រាស់ជញ្ជាំងភ្លើងពីចម្ងាយដើម្បីបង្កើតសែលបញ្ច្រាស ទទួលបានឧបករណ៍បន្ថែម ជ្រៀតចូលបណ្តាញខាងក្នុង និងចុងក្រោយទាញយកទិន្នន័យ។ វិសាលភាពពិតប្រាកដនៃយុទ្ធនាការនេះនៅតែមិនច្បាស់លាស់។ តារាសម្តែងត្រូវបានគេដាក់ឈ្មោះថា UTA0218 ដោយបង្ហាញពីសមត្ថភាពកម្រិតខ្ពស់ និងការប្រតិបត្តិយ៉ាងឆាប់រហ័សដែលបង្ហាញពីតួអង្គគំរាមកំហែងដែលមានជំនាញជាមួយនឹងយុទ្ធសាស្រ្តដែលបានកំណត់ទុកជាមុនដើម្បីសម្រេចបាននូវគោលដៅរបស់ពួកគេ។
ជាដំបូង UTA0218 ផ្តោតលើការទទួលបានកូនសោ DPAPI បម្រុងទុកដែន និងកំណត់គោលដៅកំណត់អត្តសញ្ញាណថតសកម្មដើម្បីទទួលបានឯកសារ NTDS.DIT ។ ពួកគេក៏បានព្យាយាមសម្របសម្រួលស្ថានីយការងាររបស់អ្នកប្រើប្រាស់ដើម្បីលួចខូគីដែលបានរក្សាទុក ទិន្នន័យចូល និងសោ DPAPI ផងដែរ។
អង្គការនានាត្រូវបានណែនាំឱ្យត្រួតពិនិត្យរកមើលសញ្ញានៃចលនាខាងក្នុង។
CISA ព្រមានអំពីភាពងាយរងគ្រោះ CVE-2024-3400
ការវិវឌ្ឍន៍ជុំវិញភាពងាយរងគ្រោះ CVE-2024-3400 បានជំរុញឱ្យទីភ្នាក់ងារសន្តិសុខតាមអ៊ីនធឺណិត និងហេដ្ឋារចនាសម្ព័ន្ធរបស់សហរដ្ឋអាមេរិក (CISA) រួមបញ្ចូលគុណវិបត្តិនៅក្នុងកាតាឡុកដែលគេស្គាល់ថាបានកេងប្រវ័ញ្ច Vulnerabilities (KEV) ដោយតម្រូវឱ្យភ្នាក់ងារសហព័ន្ធអនុវត្តបំណះសម្រាប់កាត់បន្ថយការគំរាមកំហែងដែលអាចកើតមាន។
ឧបករណ៍កំណត់គោលដៅនៅតែជាវ៉ិចទ័រវាយប្រហារដែលពេញនិយមសម្រាប់តួអង្គគំរាមកំហែងដែលមានជំនាញដែលត្រូវការពេលវេលា និងធនធានចាំបាច់ដើម្បីស្វែងរកភាពងាយរងគ្រោះថ្មីៗ។
ដោយសារធនធានដែលត្រូវការក្នុងការអភិវឌ្ឍន៍ និងទាញយកភាពងាយរងគ្រោះ ធម្មជាតិនៃជនរងគ្រោះជាគោលដៅ និងសមត្ថភាពដែលបានបង្ហាញក្នុងការដំឡើង Python backdoor និងបណ្តាញជនរងគ្រោះដែលជ្រៀតចូល វាមានលទ្ធភាពខ្ពស់ដែល UTA0218 គឺជាអ្នកគំរាមកំហែងដែលគាំទ្រដោយរដ្ឋ។
