CVE-2024-3400 Kerentanan

Sejak 26 Mac 2024, pelakon ancaman telah mengambil kesempatan daripada kerentanan sifar hari yang baru didedahkan dalam perisian PAN-OS Rangkaian Palo Alto. Digelar Operasi MidnightEclipse oleh penyelidik, aktiviti ini dikaitkan dengan pelakon ancaman tunggal yang tidak dikenali.

Kerentanan, yang dikenali sebagai CVE-2024-3400 dan dinilai dengan skor CVSS 10.0, adalah kecacatan suntikan arahan. Ia membenarkan penggodam yang tidak disahkan untuk melaksanakan kod sewenang-wenangnya dengan keistimewaan akar pada tembok api yang terjejas. Terutamanya, isu ini hanya mempengaruhi konfigurasi PAN-OS 10.2, PAN-OS 11.0 dan PAN-OS 11.1 dengan get laluan GlobalProtect dan telemetri peranti didayakan.

Penyerang Mengeksploitasi Kerentanan CVE-2024-3400 untuk Menyampaikan Perisian Hasad Pintu Belakang

Operasi MidnightEclipse melibatkan memanfaatkan kelemahan untuk mewujudkan tugas cron yang dilaksanakan setiap minit, mengambil arahan daripada pelayan luaran ('172.233.228.93/dasar' atau '172.233.228.93/patch') dan menjalankannya melalui shell bash.

Penyerang dilaporkan telah mengawal senarai kawalan akses (ACL) untuk pelayan Command-and-Control (C2) secara manual, memastikan hanya peranti yang berkomunikasi boleh mengaksesnya.

Walaupun fungsi tepat arahan itu masih tidak jelas, ia disyaki berfungsi sebagai mekanisme penghantaran untuk pintu belakang berasaskan Python yang digelar UPSTYLE oleh penyelidik yang menjejaki eksploitasi CVE-2024-3400. Pintu belakang ini dihoskan pada pelayan yang berasingan ('144.172.79.92' dan 'nhdata.s3-us-west-2.amazonaws.com').

Fail Python direka bentuk untuk mencipta dan melaksanakan skrip Python lain ('system.pth'), yang seterusnya menyahkod dan melancarkan komponen pintu belakang terbenam yang bertanggungjawab untuk melaksanakan arahan pelaku ancaman. Hasil operasi ini dilog masuk ke dalam fail bernama 'sslvpn_ngx_error.log,' manakala fail lain bernama 'bootstrap.min.css' merekodkan aktiviti tambahan.

Penyerang Berusaha Mengumpul Maklumat Sensitif daripada Peranti Yang Dijangkiti

Aspek yang ketara dalam rantaian serangan ialah penggunaan fail sah yang dikaitkan dengan tembok api untuk kedua-dua perintah mengekstrak dan hasil pengelogan:

• /var/log/pan/sslvpn_ngx_error.log
• /var/appweb/sslvpndocs/global-protect/portal/css/bootstrap.min.css

Untuk menulis arahan pada log ralat pelayan Web, pelaku ancaman membuat permintaan rangkaian khusus yang menyasarkan halaman web yang tidak wujud dengan corak tertentu. Selepas itu, pintu belakang mengimbas fail log untuk melihat baris yang sepadan dengan ungkapan biasa yang dipratentukan ('img[([a-zA-Z0-9+/=]+)]') untuk menyahkod dan melaksanakan perintah terbenam.

Selain itu, skrip menghasilkan urutan baharu untuk melaksanakan fungsi bernama 'pulihkan.' Fungsi ini memulihkan kandungan asal dan masa akses/diubah suai fail bootstrap.min.css selepas kelewatan 15 saat, dengan berkesan memadamkan kesan output arahan.

Objektif utama nampaknya meminimumkan bukti pelaksanaan perintah, yang memerlukan exfiltration hasil dalam masa 15 saat sebelum fail ditulis ganti.

Penyelidik telah memerhatikan aktor ancaman mengeksploitasi tembok api dari jauh untuk mewujudkan cangkerang terbalik, memperoleh alat tambahan, menembusi rangkaian dalaman, dan akhirnya mengekstrak data. Skop sebenar kempen masih tidak pasti. Pelakon itu telah digelar UTA0218, mempamerkan keupayaan lanjutan dan pelaksanaan pantas yang menunjukkan pelakon ancaman mahir dengan strategi yang telah ditetapkan untuk mencapai matlamat mereka.

Pada mulanya, UTA0218 menumpukan pada memperoleh kunci DPAPI sandaran domain dan menyasarkan kelayakan direktori aktif untuk mendapatkan fail NTDS.DIT. Mereka juga berusaha untuk menjejaskan stesen kerja pengguna untuk mencuri kuki yang disimpan, data log masuk dan kunci DPAPI.

Organisasi dinasihatkan untuk memantau tanda-tanda pergerakan sisi dalaman.

CISA Memberi Amaran tentang Kerentanan CVE-2024-3400

Perkembangan sekitar Kerentanan CVE-2024-3400 mendorong Agensi Keselamatan Siber dan Infrastruktur (CISA) AS untuk memasukkan kecacatan dalam katalog Kerentanan Dieksploitasi (KEV) yang Dikenali, yang mewajibkan agensi persekutuan untuk menggunakan tampung untuk mengurangkan potensi ancaman.

Menyasarkan peranti tepi kekal sebagai vektor serangan yang digemari untuk pelakon ancaman mahir yang memerlukan masa dan sumber yang diperlukan untuk menerokai kelemahan baharu.

Memandangkan sumber yang diperlukan untuk membangun dan mengeksploitasi kerentanan sedemikian, sifat mangsa yang disasarkan, dan keupayaan yang ditunjukkan dalam memasang pintu belakang Python dan rangkaian mangsa yang menyusup, kemungkinan besar UTA0218 ialah pelakon ancaman yang disokong kerajaan.