CVE-2024-3400 जोखिम
मार्च 26, 2024 देखि, पालो अल्टो नेटवर्क PAN-OS सफ्टवेयरमा नयाँ खुलासा गरिएको शून्य-दिनको जोखिमको फाइदा लिइरहेका छन्। अनुसन्धानकर्ताहरूद्वारा अपरेशन मिडनाइट इक्लिप्स डब गरिएको, यो गतिविधि एकल अज्ञात खतरा अभिनेतालाई श्रेय दिइएको छ।
जोखिम, CVE-2024-3400 को रूपमा चिनिन्छ र 10.0 को CVSS स्कोर संग मूल्याङ्कन गरिएको छ, एक आदेश इंजेक्शन त्रुटि हो। यसले अप्रमाणित ह्याकरहरूलाई प्रभावित फायरवालहरूमा रूट विशेषाधिकारहरूको साथ मनमानी कोड कार्यान्वयन गर्न अनुमति दिन्छ। उल्लेखनीय रूपमा, यस मुद्दाले PAN-OS 10.2, PAN-OS 11.0, र PAN-OS 11.1 कन्फिगरेसनहरू मात्र GlobalProtect गेटवे र उपकरण टेलिमेट्री सक्षम पार्छ।
सामग्रीको तालिका
आक्रमणकारीहरूले ब्याकडोर मालवेयर डेलिभर गर्न CVE-2024-3400 जोखिमको शोषण गर्छन्
अपरेशन मिडनाइट इक्लिप्सले प्रत्येक मिनेटमा कार्यान्वयन गर्ने क्रोन कार्य स्थापना गर्नको लागि जोखिमको फाइदा उठाउनु, बाह्य सर्भर ('१७२.२३३.२२८.९३/नीति' वा '१७२.२३३.२२८.९३/प्याच') बाट आदेशहरू ल्याउने र तिनीहरूलाई bash मार्फत चलाउने समावेश गर्दछ।
आक्रमणकारीहरूले कथित रूपमा कमाण्ड-एन्ड-कन्ट्रोल (C2) सर्भरको लागि पहुँच नियन्त्रण सूची (ACL) लाई म्यानुअल रूपमा नियन्त्रण गरेका छन्, यो सुनिश्चित गर्दै कि संचार उपकरणले मात्र पहुँच गर्न सक्छ।
जबकि कमाण्डको सटीक प्रकार्य अस्पष्ट रहन्छ, यसले CVE-2024-3400 को शोषण ट्र्याक गर्ने अनुसन्धानकर्ताहरूद्वारा पाइथन-आधारित ब्याकडोर डब गरिएको UPSTYLE को लागि डेलिभरी संयन्त्रको रूपमा काम गरेको शंका छ। यो ब्याकडोर छुट्टै सर्भरमा होस्ट गरिएको छ ('144.172.79.92' र 'nhdata.s3-us-west-2.amazonaws.com')।
पाइथन फाइल अर्को पाइथन स्क्रिप्ट ('system.pth') सिर्जना गर्न र कार्यान्वयन गर्न डिजाइन गरिएको हो, जसले खतरा अभिनेताका आदेशहरू कार्यान्वयन गर्न जिम्मेवार इम्बेडेड ब्याकडोर कम्पोनेन्टलाई डिकोड र सुरुवात गर्छ। यी कार्यहरूको नतिजाहरू 'sslvpn_ngx_error.log' नामक फाइलमा लगइन गरिएका छन्, जबकि 'bootstrap.min.css' नामक अर्को फाइलले थप गतिविधि रेकर्ड गर्छ।
आक्रमणकारीहरूले संक्रमित यन्त्रहरूबाट संवेदनशील सूचनाहरू प्राप्त गर्न खोज्छन्
आक्रमण श्रृङ्खलाको एक उल्लेखनीय पक्ष भनेको निकाल्ने आदेशहरू र लगिङ परिणामहरू दुवैको लागि फायरवालसँग सम्बन्धित वैध फाइलहरूको प्रयोग हो:
- /var/log/pan/sslvpn_ngx_error.log
- /var/appweb/sslvpndocs/global-protect/portal/css/bootstrap.min.css
वेब सर्भर त्रुटि लगमा आदेशहरू लेख्नको लागि, खतरा अभिनेताले विशेष ढाँचाको साथ अस्तित्वहीन वेब पृष्ठलाई लक्षित गरी विशेष नेटवर्क अनुरोधहरू सिर्जना गर्दछ। पछि, ब्याकडोरले इम्बेडेड आदेशहरू डिकोड गर्न र कार्यान्वयन गर्न पूर्वनिर्धारित नियमित अभिव्यक्ति ('img[([a-zA-Z0-9+/=]+)]') सँग मिल्ने लाइनहरूको लागि लग फाइल स्क्यान गर्दछ।
थप रूपमा, स्क्रिप्टले 'पुनर्स्थापना' नामक प्रकार्य कार्यान्वयन गर्न नयाँ थ्रेड उत्पन्न गर्छ। यस प्रकार्यले 15-सेकेन्ड ढिलाइ पछि bootstrap.min.css फाइलको मौलिक सामग्री र पहुँच/परिमार्जित समय पुनर्स्थापना गर्दछ, प्रभावकारी रूपमा आदेश आउटपुटहरूको ट्रेसहरू मेटाउँछ।
प्राथमिक उद्देश्यले फाइल ओभरराइट गर्नु अघि 15 सेकेन्ड भित्र नतिजाहरूको एक्सफिल्ट्रेसन आवश्यक पर्ने आदेश कार्यान्वयनको प्रमाणलाई न्यूनीकरण गरिरहेको देखिन्छ।
अन्वेषकहरूले रिभर्स शेल स्थापना गर्न, अतिरिक्त उपकरणहरू प्राप्त गर्न, आन्तरिक सञ्जालहरू घुसाउन र अन्ततः डाटा निकाल्न फायरवाललाई टाढाबाट शोषण गर्ने खतरा अभिनेताले देखेका छन्। अभियानको सही दायरा अनिश्चित रहन्छ। अभिनेतालाई UTA0218 डब गरिएको छ, उन्नत क्षमताहरू र उनीहरूको लक्ष्यहरू प्राप्त गर्न पूर्वनिर्धारित रणनीतिको साथ एक कुशल खतरा अभिनेताको द्रुत कार्यान्वयन सूचक प्रदर्शन गर्दै।
सुरुमा, UTA0218 डोमेन ब्याकअप DPAPI कुञ्जीहरू प्राप्त गर्न र NTDS.DIT फाइल प्राप्त गर्न सक्रिय डाइरेक्टरी प्रमाणहरू लक्षित गर्नमा केन्द्रित थियो। तिनीहरूले बचत गरिएका कुकीहरू, लगइन डाटा, र DPAPI कुञ्जीहरू चोरी गर्न प्रयोगकर्ता वर्कस्टेशनहरूमा सम्झौता गर्न खोजे।
संगठनहरूलाई आन्तरिक पार्श्व आन्दोलनको संकेतहरूको लागि निगरानी गर्न सल्लाह दिइन्छ।
CISA ले CVE-2024-3400 जोखिमको बारेमा चेतावनी दिन्छ
CVE-2024-3400 Vulnerability वरपरका घटनाक्रमहरूले अमेरिकी साइबरसुरक्षा र पूर्वाधार सुरक्षा एजेन्सी (CISA) लाई यसको ज्ञात शोषित जोखिम (KEV) सूचीमा त्रुटिहरू समावेश गर्न प्रेरित गर्यो, संघीय एजेन्सीहरूलाई सम्भावित खतराहरू कम गर्न प्याचहरू लागू गर्न आदेश दियो।
नयाँ कमजोरीहरू अन्वेषण गर्न आवश्यक समय र स्रोतहरू चाहिने दक्ष खतरा अभिनेताहरूका लागि लक्षित किनारा उपकरणहरू एक अनुकूल आक्रमण भेक्टर बनेको छ।
यस्तो असुरक्षाको विकास र शोषण गर्न आवश्यक स्रोतहरू, लक्षित पीडितहरूको प्रकृति, र पाइथन ब्याकडोर स्थापना गर्न र पीडित नेटवर्कहरू घुसपैठ गर्ने प्रदर्शन क्षमताहरूलाई ध्यानमा राख्दै, UTA0218 एक राज्य-समर्थित खतरा अभिनेता हो भन्ने अत्यधिक सम्भावना छ।
