CVE-2024-3400 pažeidžiamumas
Nuo 2024 m. kovo 26 d. grėsmės veikėjai naudojasi naujai atskleistu nulinės dienos pažeidžiamumu Palo Alto Networks PAN-OS programinėje įrangoje. Tyrėjų pavadinta „Operacija Midnight Eclipse“, ši veikla priskiriama vienam nenustatytam grėsmės veikėjui.
Pažeidžiamumas, žinomas kaip CVE-2024-3400 ir įvertintas 10,0 CVSS balu, yra komandų įterpimo klaida. Tai leidžia neautentifikuotiems įsilaužėliams paveiktose ugniasienėse vykdyti savavališką kodą su root teisėmis. Pažymėtina, kad ši problema paliečia tik PAN-OS 10.2, PAN-OS 11.0 ir PAN-OS 11.1 konfigūracijas su įjungtu GlobalProtect šliuzu ir įrenginio telemetrija.
Turinys
Užpuolikai išnaudoja CVE-2024-3400 pažeidžiamumą, kad pateiktų užpakalinių durų kenkėjišką programą
Operacija „MidnightEclipse“ apima pažeidžiamumo panaudojimą, kad būtų sukurta cron užduotis, kuri vykdoma kiekvieną minutę, gaunamos komandos iš išorinio serverio („172.233.228.93/policy“ arba „172.233.228.93/patch“) ir paleidžiamos jas per „bash“ apvalkalą.
Pranešama, kad užpuolikai rankiniu būdu valdė komandų ir valdymo (C2) serverio prieigos kontrolės sąrašą (ACL), užtikrindami, kad tik bendraujantis įrenginys galėtų jį pasiekti.
Nors tiksli komandos funkcija lieka neaiški, įtariama, kad tyrėjai, stebintys CVE-2024-3400 išnaudojimą, gali tarnauti kaip Python pagrindu veikiančių užpakalinių durų, pavadintų UPSTYLE, pristatymo mechanizmas. Šios užpakalinės durys yra priglobtos atskirame serveryje („144.172.79.92“ ir „nhdata.s3-us-west-2.amazonaws.com“).
Python failas skirtas sukurti ir vykdyti kitą Python scenarijų („system.pth“), kuris savo ruožtu iššifruoja ir paleidžia įterptąjį užpakalinių durų komponentą, atsakingą už grėsmės veikėjo komandų vykdymą. Šių operacijų rezultatai registruojami faile pavadinimu „sslvpn_ngx_error.log“, o kitame faile pavadinimu „bootstrap.min.css“ įrašoma papildoma veikla.
Užpuolikai siekia surinkti jautrią informaciją iš užkrėstų įrenginių
Svarbus atakos grandinės aspektas yra teisėtų failų, susijusių su ugniasiene, naudojimas komandoms išgauti ir registruoti rezultatus:
- /var/log/pan/sslvpn_ngx_error.log
- /var/appweb/sslvpndocs/global-protect/portal/css/bootstrap.min.css
Norėdami rašyti komandas į žiniatinklio serverio klaidų žurnalą, grėsmės veikėjas sukuria konkrečias tinklo užklausas, nukreiptas į neegzistuojantį tinklalapį su tam tikru šablonu. Vėliau užpakalinės durys nuskaito žurnalo failą, ar nėra eilučių, atitinkančių iš anksto nustatytą reguliarųjį posakį ('img[([a-zA-Z0-9+/=]+)]), kad iškoduotų ir vykdytų įterptąsias komandas.
Be to, scenarijus sukuria naują giją, kad vykdytų funkciją, pavadintą „atkurti“. Ši funkcija atkuria pradinį failo bootstrap.min.css turinį ir prieigos / modifikavimo laiką po 15 sekundžių delsos, veiksmingai ištrindama komandų išvesties pėdsakus.
Atrodo, kad pagrindinis tikslas yra sumažinti komandų vykdymo įrodymus, o rezultatus reikia išfiltruoti per 15 sekundžių prieš failo perrašymą.
Tyrėjai pastebėjo, kaip grėsmės veikėjas nuotoliniu būdu išnaudoja ugniasienę, kad sukurtų atvirkštinį apvalkalą, įsigytų papildomų įrankių, įsiskverbtų į vidinius tinklus ir galiausiai išgautų duomenis. Tiksli kampanijos apimtis lieka neaiški. Aktorius buvo pavadintas UTA0218, demonstruodamas pažangias galimybes ir greitą vykdymą, rodantį kvalifikuotą grėsmių veikėją, turintį iš anksto nustatytą strategiją savo tikslams pasiekti.
Iš pradžių UTA0218 daugiausia dėmesio skyrė domeno atsarginių DPAPI raktų įsigijimui ir aktyvaus katalogo kredencialų taikymui, kad gautų NTDS.DIT failą. Jie taip pat siekė pažeisti vartotojų darbo vietas, kad pavogtų išsaugotus slapukus, prisijungimo duomenis ir DPAPI raktus.
Organizacijoms patariama stebėti, ar nėra vidinio šoninio judėjimo požymių.
CISA įspėja apie CVE-2024-3400 pažeidžiamumą
Pokyčiai, susiję su CVE-2024-3400 pažeidžiamumu, paskatino JAV kibernetinio saugumo ir infrastruktūros saugumo agentūrą (CISA) įtraukti trūkumą į žinomų išnaudotų pažeidžiamumų (KEV) katalogą, įpareigojant federalines agentūras pritaikyti pataisas galimoms grėsmėms sumažinti.
Taikymas į pažangiausius įrenginius tebėra mėgstamas atakos vektorius kvalifikuotiems grėsmės veikėjams, kuriems reikia laiko ir išteklių, kad galėtų ištirti naujus pažeidžiamumus.
Atsižvelgiant į išteklius, reikalingus tokiam pažeidžiamumui sukurti ir išnaudoti, tikslinių aukų pobūdį ir įrodytas galimybes įdiegti „Python“ užpakalines duris ir įsiskverbti į aukų tinklus, labai tikėtina, kad UTA0218 yra valstybės remiamas grėsmės veikėjas.
