CVE-2024-3400 Sårbarhet
Siden 26. mars 2024 har trusselaktører utnyttet en nylig avslørt zero-day-sårbarhet i Palo Alto Networks PAN-OS-programvare. Kalt Operation Midnight Eclipse av forskere, denne aktiviteten tilskrives en enkelt uidentifisert trusselaktør.
Sårbarheten, kjent som CVE-2024-3400 og vurdert med en CVSS-score på 10,0, er en kommandoinjeksjonsfeil. Den lar uautentiserte hackere kjøre vilkårlig kode med root-privilegier på berørte brannmurer. Spesielt påvirker dette problemet bare PAN-OS 10.2, PAN-OS 11.0 og PAN-OS 11.1 konfigurasjoner med GlobalProtect-gateway og enhetstelemetri aktivert.
Innholdsfortegnelse
Angripere utnytter CVE-2024-3400-sårbarheten for å levere bakdørs skadelig programvare
Operasjon MidnightEclipse innebærer å utnytte sårbarheten til å etablere en cron-jobb som utføres hvert minutt, hente kommandoer fra en ekstern server ('172.233.228.93/policy' eller '172.233.228.93/patch') og kjøre dem via bash-skallet.
Angriperne har angivelig manuelt kontrollert en tilgangskontrollliste (ACL) for Command-and-Control (C2)-serveren, for å sikre at bare den kommuniserende enheten har tilgang til den.
Selv om den nøyaktige funksjonen til kommandoen forblir uklar, er den mistenkt for å tjene som en leveringsmekanisme for en Python-basert bakdør kalt UPSTYLE av forskere som sporer utnyttelsen av CVE-2024-3400. Denne bakdøren ligger på en separat server ('144.172.79.92' og 'nhdata.s3-us-west-2.amazonaws.com').
Python-filen er designet for å lage og kjøre et annet Python-skript ('system.pth'), som igjen dekoder og starter den innebygde bakdørskomponenten som er ansvarlig for å utføre trusselaktørens kommandoer. Resultatene av disse operasjonene logges i en fil med navnet 'sslvpn_ngx_error.log', mens en annen fil med navnet 'bootstrap.min.css' registrerer ytterligere aktivitet.
Angripere søker å høste sensitiv informasjon fra infiserte enheter
Et bemerkelsesverdig aspekt ved angrepskjeden er bruken av legitime filer knyttet til brannmuren for både utpakking av kommandoer og loggingsresultater:
- /var/log/pan/sslvpn_ngx_error.log
- /var/appweb/sslvpndocs/global-protect/portal/css/bootstrap.min.css
For å skrive kommandoer til webserverfeilloggen, lager trusselaktøren spesifikke nettverksforespørsler rettet mot en ikke-eksisterende nettside med et bestemt mønster. Deretter skanner bakdøren loggfilen for linjer som samsvarer med et forhåndsdefinert regulært uttrykk ('img[([a-zA-Z0-9+/=]+)]') for å dekode og utføre innebygde kommandoer.
I tillegg skaper skriptet en ny tråd for å utføre en funksjon kalt "gjenoppretting". Denne funksjonen gjenoppretter det opprinnelige innholdet og tilgang/endrede tider for bootstrap.min.css-filen etter en 15-sekunders forsinkelse, og sletter effektivt spor av kommandoutganger.
Det primære målet ser ut til å være å minimere bevis på kommandoutførelse, noe som krever eksfiltrering av resultater innen 15 sekunder før filen overskrives.
Forskere har observert at trusselaktøren eksternt utnytter brannmuren for å etablere et omvendt skall, anskaffe ytterligere verktøy, trenge inn i interne nettverk og til slutt trekke ut data. Det nøyaktige omfanget av kampanjen er fortsatt usikkert. Skuespilleren har blitt kalt UTA0218, og viser frem avanserte evner og rask utførelse som indikerer en dyktig trusselaktør med en forhåndsdefinert strategi for å nå sine mål.
Til å begynne med fokuserte UTA0218 på å skaffe DPAPI-nøkler for sikkerhetskopiering av domene og målretting av legitimasjon for aktiv katalog for å skaffe NTDS.DIT-filen. De forsøkte også å kompromittere brukerarbeidsstasjoner for å stjele lagrede informasjonskapsler, påloggingsdata og DPAPI-nøkler.
Organisasjoner anbefales å overvåke for tegn på indre sidebevegelser.
CISA advarer om sikkerhetsproblemet CVE-2024-3400
Utviklingen rundt CVE-2024-3400-sårbarheten fikk US Cybersecurity and Infrastructure Security Agency (CISA) til å inkludere feilen i sin katalog over kjente utnyttede sårbarheter (KEV), som ga føderale byråer mandat til å bruke oppdateringer for å redusere potensielle trusler.
Målrettingsenheter forblir en foretrukket angrepsvektor for dyktige trusselaktører som trenger den nødvendige tiden og ressursene for å utforske nye sårbarheter.
Gitt ressursene som kreves for å utvikle og utnytte en slik sårbarhet, arten til målrettede ofre, og de demonstrerte evnene til å installere Python-bakdøren og infiltrerende offernettverk, er det høyst sannsynlig at UTA0218 er en statsstøttet trusselaktør.
