Multi-License Discount Quote
위협 데이터베이스 Vulnerability CVE-2024-3400 취약점

CVE-2024-3400 취약점

Vulnerability년에 Mezo 년까지
번역 :
한국어

2024년 3월 26일부터 위협 행위자들은 Palo Alto Networks PAN-OS 소프트웨어에서 새로 공개된 제로데이 취약점을 활용해 왔습니다. 연구자들은 Operation MidnightEclipse라고 명명한 이 활동은 신원이 밝혀지지 않은 단일 위협 행위자에 의한 것으로 추정됩니다.

CVE-2024-3400으로 알려져 있으며 CVSS 점수 10.0으로 평가된 이 취약점은 명령 주입 결함입니다. 이를 통해 인증되지 않은 해커가 영향을 받는 방화벽에서 루트 권한으로 임의 코드를 실행할 수 있습니다. 특히 이 문제는 GlobalProtect 게이트웨이 및 장치 원격 측정이 활성화된 PAN-OS 10.2, PAN-OS 11.0 및 PAN-OS 11.1 구성에만 영향을 미칩니다.

공격자들은 CVE-2024-3400 취약점을 악용하여 백도어 악성 코드를 전달합니다.

MidnightEclipse 작업에는 취약점을 활용하여 매분 실행되는 cron 작업을 설정하고 외부 서버('172.233.228.93/policy' 또는 '172.233.228.93/patch')에서 명령을 가져와 bash 쉘을 통해 실행하는 작업이 포함됩니다.

공격자는 명령 및 제어(C2) 서버에 대한 액세스 제어 목록(ACL)을 수동으로 제어하여 통신 장치만 액세스할 수 있도록 한 것으로 알려졌습니다.

이 명령의 정확한 기능은 아직 불분명하지만, CVE-2024-3400 악용을 추적하는 연구원들은 이 명령이 UPSTYLE이라는 Python 기반 백도어의 전달 메커니즘 역할을 하는 것으로 의심됩니다. 이 백도어는 별도의 서버('144.172.79.92' 및 'nhdata.s3-us-west-2.amazonaws.com')에서 호스팅됩니다.

Python 파일은 또 다른 Python 스크립트('system.pth')를 생성하고 실행하도록 설계되었으며, 이 스크립트는 위협 행위자의 명령 실행을 담당하는 내장 백도어 구성 요소를 디코딩하고 실행합니다. 이러한 작업의 결과는 'sslvpn_ngx_error.log'라는 파일에 기록되며 'bootstrap.min.css'라는 다른 파일에는 추가 활동이 기록됩니다.

공격자들은 감염된 장치에서 민감한 정보를 수집하려고 합니다.

공격 체인의 주목할만한 측면은 명령 추출과 결과 로깅 모두를 위해 방화벽과 관련된 합법적인 파일을 활용한다는 것입니다.

  • /var/log/pan/sslvpn_ngx_error.log
  • /var/appweb/sslvpndocs/global-protect/portal/css/bootstrap.min.css

웹 서버 오류 로그에 명령을 작성하기 위해 위협 행위자는 특정 패턴을 가진 존재하지 않는 웹 페이지를 대상으로 특정 네트워크 요청을 작성합니다. 그 후, 백도어는 로그 파일에서 미리 정의된 정규식('img[([a-zA-Z0-9+/=]+)]')과 일치하는 줄을 검색하여 포함된 명령을 디코딩하고 실행합니다.

또한 스크립트는 '복원'이라는 함수를 실행하기 위해 새 스레드를 생성합니다. 이 기능은 15초 지연 후 bootstrap.min.css 파일의 원래 내용과 액세스/수정 시간을 복원하여 명령 출력의 흔적을 효과적으로 지웁니다.

주요 목표는 명령 실행의 증거를 최소화하여 파일 덮어쓰기 전 15초 이내에 결과를 유출하도록 요구하는 것으로 보입니다.

연구원들은 위협 행위자가 방화벽을 원격으로 악용하여 리버스 셸을 설정하고, 추가 도구를 획득하고, 내부 네트워크에 침투하여 궁극적으로 데이터를 추출하는 것을 관찰했습니다. 캠페인의 정확한 범위는 여전히 불확실합니다. 이 공격자는 UTA0218로 명명되었으며, 목표 달성을 위해 사전 정의된 전략을 갖춘 숙련된 위협 공격자를 나타내는 고급 기능과 빠른 실행을 보여줍니다.

처음에 UTA0218은 도메인 백업 DPAPI 키를 획득하고 Active Directory 자격 증명을 대상으로 NTDS.DIT 파일을 획득하는 데 중점을 두었습니다. 또한 그들은 저장된 쿠키, 로그인 데이터 및 DPAPI 키를 훔치기 위해 사용자 워크스테이션을 손상시키려고 했습니다.

조직은 내부 측면 이동의 징후를 모니터링하는 것이 좋습니다.

CISA, CVE-2024-3400 취약점에 대해 경고

CVE-2024-3400 취약점과 관련된 개발로 인해 미국 CISA(사이버보안 및 인프라 보안국)는 KEV(알려진 악용 취약점) 카탈로그에 이 결함을 포함하고 연방 기관에 잠재적인 위협을 완화하기 위한 패치를 적용하도록 지시했습니다.

엣지 장치를 표적으로 삼는 것은 새로운 취약점을 탐색하는 데 필요한 시간과 리소스가 필요한 숙련된 위협 행위자가 여전히 선호하는 공격 벡터입니다.

이러한 취약점을 개발하고 악용하는 데 필요한 리소스, 표적 피해자의 특성, Python 백도어 설치 및 피해자 네트워크 침투 시 입증된 기능을 고려할 때 UTA0218이 국가 지원 위협 행위자일 가능성이 매우 높습니다.

트렌드

CVE-2024-3094 취약점(XZ 백도어)

Vulnerability, Backdoors
보안 분석가들은 최근 잠재적으로 파괴적인 영향을 미칠 수 있는 심각한 취약점을 발견했습니다. 긴급 보안 권고에 따르면 널리 사용되는 데이터 압축 도구인 XZ Utils(이전 LZMA Utils)의 두 버전이 악성 코드에 감염되었습니다. 이 코드를 사용하면 영향을 받는 시스템에 대한 무단 원격 액세스가 가능해집니다. CVE-2024-3094로 식별된 이 보안 위반은 CVSS 점수 10.0으로 평가되어 심각도가 가장 높습니다. 이는 XZ Utils 버전 5.6.0(2024년 2월 24일 출시) 및 5.6.1(2024년 3월 9일 출시)에 영향을 미칩니다. 이 공격에는 liblzma 빌드 프로세스의 정교한 조작이 포함됩니다. 구체적으로, 사전 빌드된 개체 파일은 소스 코드 내의 위장된 테스트 파일에서...

가장 많이 본

화면을 공유 할 때 Discord에 검은 색 화면이 표시됨 스크린샷

화면을 공유 할 때 Discord에 검은 색 화면이 표시됨

Issue
77,573
처음 출시되었을 때 Discord는 게임 커뮤니티를 위한 VoIP 플랫폼이었습니다. 그러나 그 후 몇 년 동안 범위를 확장하고 수많은 새로운 기능을 추가했으며 월간 활성 사용자가 1억 4천만 명이 넘는 가장 큰 소셜 플랫폼 중 하나가 되었습니다. 현재 사용자는 개인 인스턴트 메시지를 보내고, VoIP 및 화상 통화를 시작하고, 컴퓨터 화면을...

'프린터 드라이버를 사용할 수 없음'오류를 수정하는 방법

Issue
61,607
프린터는 사용자가 가장 필요로 할 때마다 작업을 거부하는 것으로 유명합니다. 다행히 프린터에 프린터 드라이버를 사용할 수 없음' 오류가 표시되는 경우 문제를 해결할 수 있는 몇 가지 쉬운 솔루션이 있습니다. 이 특정 오류는 손상된 드라이버 파일, 오래된 드라이버 또는 드라이버 비호환성으로 인해 발생할 수 있습니다. Microsoft의 일반 드라이버를...
로드 중...