CVE-2024-3400 ਕਮਜ਼ੋਰੀ

26 ਮਾਰਚ, 2024 ਤੋਂ, ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਐਕਟਰ ਪਾਲੋ ਆਲਟੋ ਨੈਟਵਰਕਸ ਪੈਨ-ਓਐਸ ਸੌਫਟਵੇਅਰ ਵਿੱਚ ਇੱਕ ਨਵੇਂ ਸਾਹਮਣੇ ਆਏ ਜ਼ੀਰੋ-ਡੇਅ ਦੀ ਕਮਜ਼ੋਰੀ ਦਾ ਫਾਇਦਾ ਉਠਾ ਰਹੇ ਹਨ। ਖੋਜਕਰਤਾਵਾਂ ਦੁਆਰਾ ਓਪਰੇਸ਼ਨ ਮਿਡਨਾਈਟ ਇਕਲਿਪਸ ਨੂੰ ਡੱਬ ਕੀਤਾ ਗਿਆ, ਇਸ ਗਤੀਵਿਧੀ ਨੂੰ ਇੱਕ ਅਣਪਛਾਤੇ ਖਤਰੇ ਵਾਲੇ ਅਦਾਕਾਰ ਨੂੰ ਮੰਨਿਆ ਜਾਂਦਾ ਹੈ।

ਕਮਜ਼ੋਰੀ, ਜਿਸਨੂੰ CVE-2024-3400 ਵਜੋਂ ਜਾਣਿਆ ਜਾਂਦਾ ਹੈ ਅਤੇ 10.0 ਦੇ CVSS ਸਕੋਰ ਨਾਲ ਦਰਜਾ ਦਿੱਤਾ ਗਿਆ ਹੈ, ਇੱਕ ਕਮਾਂਡ ਇੰਜੈਕਸ਼ਨ ਨੁਕਸ ਹੈ। ਇਹ ਅਣ-ਪ੍ਰਮਾਣਿਤ ਹੈਕਰਾਂ ਨੂੰ ਪ੍ਰਭਾਵਿਤ ਫਾਇਰਵਾਲਾਂ 'ਤੇ ਰੂਟ ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰਾਂ ਦੇ ਨਾਲ ਮਨਮਾਨੇ ਕੋਡ ਨੂੰ ਚਲਾਉਣ ਦੀ ਆਗਿਆ ਦਿੰਦਾ ਹੈ। ਖਾਸ ਤੌਰ 'ਤੇ, ਇਹ ਮੁੱਦਾ ਸਿਰਫ PAN-OS 10.2, PAN-OS 11.0, ਅਤੇ PAN-OS 11.1 ਸੰਰਚਨਾਵਾਂ ਨੂੰ ਪ੍ਰਭਾਵਿਤ ਕਰਦਾ ਹੈ ਜਿਸ ਵਿੱਚ GlobalProtect ਗੇਟਵੇ ਅਤੇ ਡਿਵਾਈਸ ਟੈਲੀਮੈਟਰੀ ਸਮਰਥਿਤ ਹੈ।

ਹਮਲਾਵਰ ਇੱਕ ਬੈਕਡੋਰ ਮਾਲਵੇਅਰ ਪ੍ਰਦਾਨ ਕਰਨ ਲਈ CVE-2024-3400 ਕਮਜ਼ੋਰੀ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਦੇ ਹਨ

ਓਪਰੇਸ਼ਨ ਮਿਡਨਾਈਟ ਈਕਲਿਪਸ ਵਿੱਚ ਇੱਕ ਕ੍ਰੋਨ ਜੌਬ ਸਥਾਪਤ ਕਰਨ ਲਈ ਕਮਜ਼ੋਰੀ ਦਾ ਲਾਭ ਉਠਾਉਣਾ ਸ਼ਾਮਲ ਹੈ ਜੋ ਹਰ ਮਿੰਟ ਵਿੱਚ ਚਲਾਇਆ ਜਾਂਦਾ ਹੈ, ਇੱਕ ਬਾਹਰੀ ਸਰਵਰ ('172.233.228.93/ਪਾਲਿਸੀ' ਜਾਂ '172.233.228.93/ਪੈਚ') ਤੋਂ ਕਮਾਂਡਾਂ ਪ੍ਰਾਪਤ ਕਰਨਾ ਅਤੇ ਉਹਨਾਂ ਨੂੰ bash ਦੁਆਰਾ ਚਲਾਉਣਾ।

ਹਮਲਾਵਰਾਂ ਨੇ ਕਥਿਤ ਤੌਰ 'ਤੇ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2) ਸਰਵਰ ਲਈ ਇੱਕ ਐਕਸੈਸ ਕੰਟਰੋਲ ਲਿਸਟ (ACL) ਨੂੰ ਹੱਥੀਂ ਨਿਯੰਤਰਿਤ ਕੀਤਾ ਹੈ, ਇਹ ਸੁਨਿਸ਼ਚਿਤ ਕਰਦੇ ਹੋਏ ਕਿ ਸਿਰਫ ਸੰਚਾਰ ਕਰਨ ਵਾਲੀ ਡਿਵਾਈਸ ਇਸ ਤੱਕ ਪਹੁੰਚ ਕਰ ਸਕਦੀ ਹੈ।

ਜਦੋਂ ਕਿ ਕਮਾਂਡ ਦਾ ਸਹੀ ਕਾਰਜ ਅਸਪਸ਼ਟ ਰਹਿੰਦਾ ਹੈ, ਇਹ CVE-2024-3400 ਦੇ ਸ਼ੋਸ਼ਣ ਦਾ ਪਤਾ ਲਗਾਉਣ ਵਾਲੇ ਖੋਜਕਰਤਾਵਾਂ ਦੁਆਰਾ ਪਾਈਥਨ-ਅਧਾਰਤ ਬੈਕਡੋਰ ਡੱਬ UPSTYLE ਲਈ ਇੱਕ ਡਿਲੀਵਰੀ ਵਿਧੀ ਵਜੋਂ ਕੰਮ ਕਰਨ ਦਾ ਸ਼ੱਕ ਹੈ। ਇਹ ਬੈਕਡੋਰ ਇੱਕ ਵੱਖਰੇ ਸਰਵਰ ('144.172.79.92' ਅਤੇ 'nhdata.s3-us-west-2.amazonaws.com') 'ਤੇ ਹੋਸਟ ਕੀਤਾ ਗਿਆ ਹੈ।

ਪਾਈਥਨ ਫਾਈਲ ਨੂੰ ਇੱਕ ਹੋਰ ਪਾਇਥਨ ਸਕ੍ਰਿਪਟ ('system.pth') ਬਣਾਉਣ ਅਤੇ ਚਲਾਉਣ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ, ਜੋ ਬਦਲੇ ਵਿੱਚ ਖ਼ਤਰੇ ਦੇ ਅਭਿਨੇਤਾ ਦੇ ਹੁਕਮਾਂ ਨੂੰ ਚਲਾਉਣ ਲਈ ਜ਼ਿੰਮੇਵਾਰ ਏਮਬੈਡਡ ਬੈਕਡੋਰ ਕੰਪੋਨੈਂਟ ਨੂੰ ਡੀਕੋਡ ਅਤੇ ਲਾਂਚ ਕਰਦਾ ਹੈ। ਇਹਨਾਂ ਕਾਰਵਾਈਆਂ ਦੇ ਨਤੀਜੇ 'sslvpn_ngx_error.log' ਨਾਮ ਦੀ ਇੱਕ ਫਾਈਲ ਵਿੱਚ ਲੌਗ ਕੀਤੇ ਜਾਂਦੇ ਹਨ, ਜਦੋਂ ਕਿ 'bootstrap.min.css' ਨਾਮ ਦੀ ਇੱਕ ਹੋਰ ਫਾਈਲ ਵਾਧੂ ਗਤੀਵਿਧੀ ਨੂੰ ਰਿਕਾਰਡ ਕਰਦੀ ਹੈ।

ਹਮਲਾਵਰ ਸੰਕਰਮਿਤ ਉਪਕਰਨਾਂ ਤੋਂ ਸੰਵੇਦਨਸ਼ੀਲ ਜਾਣਕਾਰੀ ਹਾਸਲ ਕਰਨ ਦੀ ਕੋਸ਼ਿਸ਼ ਕਰਦੇ ਹਨ

ਅਟੈਕ ਚੇਨ ਦਾ ਇੱਕ ਮਹੱਤਵਪੂਰਨ ਪਹਿਲੂ ਹੈ ਐਕਸਟਰੈਕਟਿੰਗ ਕਮਾਂਡਾਂ ਅਤੇ ਲੌਗਿੰਗ ਨਤੀਜਿਆਂ ਦੋਵਾਂ ਲਈ ਫਾਇਰਵਾਲ ਨਾਲ ਜੁੜੀਆਂ ਜਾਇਜ਼ ਫਾਈਲਾਂ ਦੀ ਵਰਤੋਂ:

• /var/log/pan/sslvpn_ngx_error.log
• /var/appweb/sslvpndocs/global-protect/portal/css/bootstrap.min.css

ਵੈੱਬ ਸਰਵਰ ਐਰਰ ਲੌਗ ਵਿੱਚ ਕਮਾਂਡਾਂ ਲਿਖਣ ਲਈ, ਧਮਕੀ ਦੇਣ ਵਾਲਾ ਅਭਿਨੇਤਾ ਇੱਕ ਖਾਸ ਪੈਟਰਨ ਦੇ ਨਾਲ ਇੱਕ ਗੈਰ-ਮੌਜੂਦ ਵੈਬ ਪੇਜ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਲਈ ਖਾਸ ਨੈੱਟਵਰਕ ਬੇਨਤੀਆਂ ਤਿਆਰ ਕਰਦਾ ਹੈ। ਇਸ ਤੋਂ ਬਾਅਦ, ਬੈਕਡੋਰ ਏਮਬੈਡਡ ਕਮਾਂਡਾਂ ਨੂੰ ਡੀਕੋਡ ਕਰਨ ਅਤੇ ਚਲਾਉਣ ਲਈ ਪਹਿਲਾਂ ਤੋਂ ਪਰਿਭਾਸ਼ਿਤ ਨਿਯਮਤ ਸਮੀਕਰਨ ('img[([a-zA-Z0-9+/=]+)]') ਨਾਲ ਮੇਲ ਖਾਂਦੀਆਂ ਲਾਈਨਾਂ ਲਈ ਲੌਗ ਫਾਈਲ ਨੂੰ ਸਕੈਨ ਕਰਦਾ ਹੈ।

ਇਸ ਤੋਂ ਇਲਾਵਾ, ਸਕ੍ਰਿਪਟ 'ਰੀਸਟੋਰ' ਨਾਮਕ ਫੰਕਸ਼ਨ ਨੂੰ ਚਲਾਉਣ ਲਈ ਇੱਕ ਨਵਾਂ ਥਰਿੱਡ ਪੈਦਾ ਕਰਦੀ ਹੈ। ਇਹ ਫੰਕਸ਼ਨ 15-ਸਕਿੰਟ ਦੀ ਦੇਰੀ ਤੋਂ ਬਾਅਦ bootstrap.min.css ਫਾਈਲ ਦੀ ਅਸਲ ਸਮੱਗਰੀ ਅਤੇ ਐਕਸੈਸ/ਸੋਧੇ ਸਮੇਂ ਨੂੰ ਮੁੜ ਬਹਾਲ ਕਰਦਾ ਹੈ, ਕਮਾਂਡ ਆਉਟਪੁੱਟ ਦੇ ਨਿਸ਼ਾਨਾਂ ਨੂੰ ਪ੍ਰਭਾਵਸ਼ਾਲੀ ਢੰਗ ਨਾਲ ਮਿਟਾਉਂਦਾ ਹੈ।

ਪ੍ਰਾਇਮਰੀ ਉਦੇਸ਼ ਕਮਾਂਡ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਦੇ ਸਬੂਤ ਨੂੰ ਘੱਟ ਤੋਂ ਘੱਟ ਕਰਨਾ ਜਾਪਦਾ ਹੈ, ਫਾਈਲ ਨੂੰ ਓਵਰਰਾਈਟ ਕਰਨ ਤੋਂ ਪਹਿਲਾਂ 15 ਸਕਿੰਟਾਂ ਦੇ ਅੰਦਰ ਨਤੀਜਿਆਂ ਨੂੰ ਕੱਢਣ ਦੀ ਲੋੜ ਹੁੰਦੀ ਹੈ।

ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਦੇਖਿਆ ਹੈ ਕਿ ਰਿਵਰਸ ਸ਼ੈੱਲ ਸਥਾਪਤ ਕਰਨ, ਅਤਿਰਿਕਤ ਟੂਲ ਪ੍ਰਾਪਤ ਕਰਨ, ਅੰਦਰੂਨੀ ਨੈਟਵਰਕਾਂ ਵਿੱਚ ਪ੍ਰਵੇਸ਼ ਕਰਨ ਅਤੇ ਅੰਤ ਵਿੱਚ ਡੇਟਾ ਐਕਸਟਰੈਕਟ ਕਰਨ ਲਈ ਖ਼ਤਰੇ ਦੇ ਅਭਿਨੇਤਾ ਨੂੰ ਰਿਮੋਟਲੀ ਫਾਇਰਵਾਲ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਦੇ ਹੋਏ. ਮੁਹਿੰਮ ਦਾ ਸਹੀ ਦਾਇਰਾ ਅਨਿਸ਼ਚਿਤ ਰਹਿੰਦਾ ਹੈ। ਅਭਿਨੇਤਾ ਨੂੰ UTA0218 ਡਬ ਕੀਤਾ ਗਿਆ ਹੈ, ਆਪਣੇ ਟੀਚਿਆਂ ਨੂੰ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਇੱਕ ਪੂਰਵ-ਪਰਿਭਾਸ਼ਿਤ ਰਣਨੀਤੀ ਦੇ ਨਾਲ ਇੱਕ ਹੁਨਰਮੰਦ ਖਤਰੇ ਵਾਲੇ ਅਭਿਨੇਤਾ ਦੇ ਉੱਨਤ ਸਮਰੱਥਾਵਾਂ ਅਤੇ ਤੇਜ਼ੀ ਨਾਲ ਅਮਲ ਨੂੰ ਦਰਸਾਉਂਦਾ ਹੈ।

ਸ਼ੁਰੂ ਵਿੱਚ, UTA0218 ਨੇ ਡੋਮੇਨ ਬੈਕਅੱਪ DPAPI ਕੁੰਜੀਆਂ ਪ੍ਰਾਪਤ ਕਰਨ ਅਤੇ NTDS.DIT ਫਾਈਲ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਸਰਗਰਮ ਡਾਇਰੈਕਟਰੀ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ 'ਤੇ ਧਿਆਨ ਦਿੱਤਾ। ਉਹਨਾਂ ਨੇ ਸੁਰੱਖਿਅਤ ਕੀਤੀਆਂ ਕੂਕੀਜ਼, ਲੌਗਇਨ ਡੇਟਾ, ਅਤੇ DPAPI ਕੁੰਜੀਆਂ ਨੂੰ ਚੋਰੀ ਕਰਨ ਲਈ ਉਪਭੋਗਤਾ ਵਰਕਸਟੇਸ਼ਨਾਂ ਨਾਲ ਸਮਝੌਤਾ ਕਰਨ ਦੀ ਵੀ ਕੋਸ਼ਿਸ਼ ਕੀਤੀ।

ਸੰਗਠਨਾਂ ਨੂੰ ਸਲਾਹ ਦਿੱਤੀ ਜਾਂਦੀ ਹੈ ਕਿ ਉਹ ਅੰਦਰੂਨੀ ਪਾਸੇ ਦੀ ਗਤੀ ਦੇ ਸੰਕੇਤਾਂ ਦੀ ਨਿਗਰਾਨੀ ਕਰਨ।

CISA CVE-2024-3400 ਕਮਜ਼ੋਰੀ ਬਾਰੇ ਚੇਤਾਵਨੀ ਦਿੰਦਾ ਹੈ

CVE-2024-3400 ਕਮਜ਼ੋਰੀ ਦੇ ਆਲੇ-ਦੁਆਲੇ ਦੇ ਵਿਕਾਸ ਨੇ ਯੂ.ਐੱਸ. ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਅਤੇ ਬੁਨਿਆਦੀ ਢਾਂਚਾ ਸੁਰੱਖਿਆ ਏਜੰਸੀ (CISA) ਨੂੰ ਇਸ ਦੇ ਜਾਣੇ-ਪਛਾਣੇ ਸ਼ੋਸ਼ਣ ਵਾਲੇ ਕਮਜ਼ੋਰੀ (KEV) ਕੈਟਾਲਾਗ ਵਿੱਚ ਖਾਮੀਆਂ ਨੂੰ ਸ਼ਾਮਲ ਕਰਨ ਲਈ ਪ੍ਰੇਰਿਤ ਕੀਤਾ, ਸੰਭਾਵੀ ਖਤਰਿਆਂ ਨੂੰ ਘਟਾਉਣ ਲਈ ਪੈਚ ਲਾਗੂ ਕਰਨ ਲਈ ਸੰਘੀ ਏਜੰਸੀਆਂ ਨੂੰ ਲਾਜ਼ਮੀ ਕੀਤਾ।

ਟਾਰਗੇਟਿੰਗ ਐਜ ਡਿਵਾਈਸਾਂ ਹੁਨਰਮੰਦ ਖਤਰੇ ਵਾਲੇ ਅਦਾਕਾਰਾਂ ਲਈ ਇੱਕ ਪਸੰਦੀਦਾ ਹਮਲਾ ਵੈਕਟਰ ਬਣਿਆ ਹੋਇਆ ਹੈ ਜਿਨ੍ਹਾਂ ਨੂੰ ਨਵੀਆਂ ਕਮਜ਼ੋਰੀਆਂ ਦੀ ਪੜਚੋਲ ਕਰਨ ਲਈ ਲੋੜੀਂਦੇ ਸਮੇਂ ਅਤੇ ਸਰੋਤਾਂ ਦੀ ਲੋੜ ਹੁੰਦੀ ਹੈ।

ਅਜਿਹੀ ਕਮਜ਼ੋਰੀ ਨੂੰ ਵਿਕਸਤ ਕਰਨ ਅਤੇ ਇਸ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਨ ਲਈ ਲੋੜੀਂਦੇ ਸਰੋਤਾਂ, ਨਿਸ਼ਾਨਾ ਪੀੜਤਾਂ ਦੀ ਪ੍ਰਕਿਰਤੀ, ਅਤੇ ਪਾਈਥਨ ਬੈਕਡੋਰ ਨੂੰ ਸਥਾਪਿਤ ਕਰਨ ਅਤੇ ਪੀੜਤ ਨੈੱਟਵਰਕਾਂ ਵਿੱਚ ਘੁਸਪੈਠ ਕਰਨ ਦੀਆਂ ਪ੍ਰਦਰਸ਼ਿਤ ਸਮਰੱਥਾਵਾਂ ਦੇ ਮੱਦੇਨਜ਼ਰ, ਇਹ ਬਹੁਤ ਸੰਭਾਵਨਾ ਹੈ ਕਿ UTA0218 ਇੱਕ ਰਾਜ-ਸਮਰਥਿਤ ਧਮਕੀ ਅਦਾਕਾਰ ਹੈ।