CVE-2024-3400-kwetsbaarheid
Sinds 26 maart 2024 maken bedreigingsactoren misbruik van een nieuw onthulde zero-day-kwetsbaarheid in de PAN-OS-software van Palo Alto Networks. Deze activiteit, door onderzoekers Operation MidnightEclipse genoemd, wordt toegeschreven aan een enkele ongeïdentificeerde bedreigingsacteur.
De kwetsbaarheid, bekend als CVE-2024-3400 en beoordeeld met een CVSS-score van 10,0, is een fout in de commando-injectie. Hiermee kunnen niet-geverifieerde hackers willekeurige code met rootrechten uitvoeren op getroffen firewalls. Dit probleem heeft met name alleen betrekking op PAN-OS 10.2-, PAN-OS 11.0- en PAN-OS 11.1-configuraties met GlobalProtect-gateway en apparaattelemetrie ingeschakeld.
Inhoudsopgave
Aanvallers misbruiken de CVE-2024-3400-kwetsbaarheid om backdoor-malware af te leveren
Bij Operatie MidnightEclipse wordt gebruik gemaakt van de kwetsbaarheid om een cron-taak tot stand te brengen die elke minuut wordt uitgevoerd, waarbij opdrachten van een externe server ('172.233.228.93/policy' of '172.233.228.93/patch') worden opgehaald en via de bash-shell worden uitgevoerd.
De aanvallers hebben naar verluidt handmatig een toegangscontrolelijst (ACL) voor de Command-and-Control (C2)-server beheerd, zodat alleen het communicerende apparaat er toegang toe heeft.
Hoewel de precieze functie van het commando onduidelijk blijft, wordt vermoed dat het dient als leveringsmechanisme voor een op Python gebaseerde achterdeur genaamd UPSTYLE door onderzoekers die de exploitatie van CVE-2024-3400 volgen. Deze backdoor wordt gehost op een aparte server ('144.172.79.92' en 'nhdata.s3-us-west-2.amazonaws.com').
Het Python-bestand is ontworpen om een ander Python-script ('system.pth') te maken en uit te voeren, dat op zijn beurt de ingebedde achterdeurcomponent decodeert en start die verantwoordelijk is voor het uitvoeren van de opdrachten van de bedreigingsactor. De resultaten van deze bewerkingen worden vastgelegd in een bestand met de naam 'sslvpn_ngx_error.log', terwijl een ander bestand met de naam 'bootstrap.min.css' aanvullende activiteiten registreert.
Aanvallers proberen gevoelige informatie van geïnfecteerde apparaten te verzamelen
Een opmerkelijk aspect van de aanvalsketen is het gebruik van legitieme bestanden die aan de firewall zijn gekoppeld voor zowel het extraheren van opdrachten als het loggen van resultaten:
- /var/log/pan/sslvpn_ngx_error.log
- /var/appweb/sslvpndocs/global-protect/portal/css/bootstrap.min.css
Om opdrachten naar het foutenlogboek van de webserver te schrijven, maakt de bedreigingsactor specifieke netwerkverzoeken gericht op een niet-bestaande webpagina met een bepaald patroon. Vervolgens scant de achterdeur het logbestand op regels die overeenkomen met een vooraf gedefinieerde reguliere expressie ('img[([a-zA-Z0-9+/=]+)]') om ingebedde opdrachten te decoderen en uit te voeren.
Bovendien genereert het script een nieuwe thread om een functie met de naam 'restore' uit te voeren. Deze functie herstelt de oorspronkelijke inhoud en toegangs-/gewijzigde tijden van het bestand bootstrap.min.css na een vertraging van 15 seconden, waardoor sporen van opdrachtuitvoer effectief worden gewist.
Het primaire doel lijkt het minimaliseren van het bewijs van de uitvoering van opdrachten, waarbij de resultaten binnen 15 seconden moeten worden geëxfiltreerd voordat het bestand wordt overschreven.
Onderzoekers hebben waargenomen dat de bedreigingsacteur op afstand de firewall misbruikt om een omgekeerde schil op te zetten, extra tools te verwerven, interne netwerken binnen te dringen en uiteindelijk gegevens te extraheren. De exacte omvang van de campagne blijft onzeker. De acteur heeft de naam UTA0218 gekregen en toont geavanceerde capaciteiten en snelle uitvoering, indicatief voor een ervaren dreigingsacteur met een vooraf gedefinieerde strategie om zijn doelen te bereiken.
Aanvankelijk concentreerde UTA0218 zich op het verwerven van DPAPI-back-upsleutels voor het domein en het targeten van Active Directory-referenties om het NTDS.DIT-bestand te verkrijgen. Ze probeerden ook gebruikerswerkstations in gevaar te brengen om opgeslagen cookies, inloggegevens en DPAPI-sleutels te stelen.
Organisaties wordt geadviseerd te letten op tekenen van interne laterale beweging.
CISA waarschuwt voor het beveiligingslek CVE-2024-3400
De ontwikkelingen rond de CVE-2024-3400-kwetsbaarheid waren voor de Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) aanleiding om de kwetsbaarheid op te nemen in de Known Exploited Vulnerabilities (KEV)-catalogus, waardoor federale instanties werden verplicht patches toe te passen om potentiële bedreigingen te beperken.
Het richten op edge-apparaten blijft een favoriete aanvalsvector voor ervaren dreigingsactoren die de nodige tijd en middelen nodig hebben om nieuwe kwetsbaarheden te verkennen.
Gezien de middelen die nodig zijn om een dergelijke kwetsbaarheid te ontwikkelen en te exploiteren, de aard van de beoogde slachtoffers en de aangetoonde capaciteiten bij het installeren van de Python-achterdeur en het infiltreren van slachtoffernetwerken, is het zeer waarschijnlijk dat UTA0218 een door de staat gesteunde bedreigingsacteur is.
