Luka CVE-2024-3400

Od 26 marca 2024 r. cyberprzestępcy wykorzystują nowo ujawnioną lukę dnia zerowego w oprogramowaniu PAN-OS firmy Palo Alto Networks. Nazwana przez badaczy operacją Midnight Eclipse, aktywność tę przypisuje się pojedynczemu niezidentyfikowanemu ugrupowaniu zagrażającemu.

Luka, znana jako CVE-2024-3400 i posiadająca ocenę CVSS na poziomie 10,0, to luka polegająca na wstrzykiwaniu poleceń. Umożliwia nieuwierzytelnionym hakerom wykonanie dowolnego kodu z uprawnieniami roota na zaporach ogniowych, których dotyczy problem. Warto zauważyć, że ten problem dotyczy tylko konfiguracji PAN-OS 10.2, PAN-OS 11.0 i PAN-OS 11.1 z włączoną bramą GlobalProtect i telemetrią urządzenia.

Atakujący wykorzystują lukę CVE-2024-3400, aby dostarczyć złośliwe oprogramowanie typu backdoor

Operacja MidnightEclipse polega na wykorzystaniu luki w celu ustanowienia zadania cron, które będzie wykonywane co minutę, pobrania poleceń z serwera zewnętrznego („172.233.228.93/policy” lub „172.233.228.93/patch”) i uruchomienia ich za pośrednictwem powłoki bash.

Według doniesień napastnicy ręcznie kontrolowali listę kontroli dostępu (ACL) dla serwera dowodzenia i kontroli (C2), zapewniając dostęp do niej tylko komunikującemu się urządzeniu.

Chociaż dokładna funkcja tego polecenia pozostaje niejasna, podejrzewa się, że służy ono jako mechanizm dostarczania backdoora opartego na Pythonie, nazwanego UPSTYLE przez badaczy śledzących wykorzystanie CVE-2024-3400. Ten backdoor jest hostowany na oddzielnym serwerze („144.172.79.92” i „nhdata.s3-us-west-2.amazonaws.com”).

Plik Pythona ma na celu utworzenie i wykonanie kolejnego skryptu w języku Python („system.pth”), który z kolei dekoduje i uruchamia wbudowany komponent backdoora odpowiedzialny za wykonywanie poleceń ugrupowania zagrażającego. Wyniki tych operacji są rejestrowane w pliku o nazwie „sslvpn_ngx_error.log”, natomiast inny plik o nazwie „bootstrap.min.css” rejestruje dodatkową aktywność.

Atakujący chcą zebrać poufne informacje z zainfekowanych urządzeń

Godnym uwagi aspektem łańcucha ataków jest wykorzystanie legalnych plików powiązanych z zaporą ogniową zarówno do wyodrębniania poleceń, jak i rejestrowania wyników:

• /var/log/pan/sslvpn_ngx_error.log
• /var/appweb/sslvpndocs/global-protect/portal/css/bootstrap.min.css

Aby zapisać polecenia w dzienniku błędów serwera sieci Web, osoba zagrażająca tworzy określone żądania sieciowe, których celem jest nieistniejąca strona internetowa o określonym wzorcu. Następnie backdoor skanuje plik dziennika w poszukiwaniu linii pasujących do predefiniowanego wyrażenia regularnego („img[([a-zA-Z0-9+/=]+)]”) w celu zdekodowania i wykonania osadzonych poleceń.

Dodatkowo skrypt tworzy nowy wątek w celu wykonania funkcji o nazwie „restore”. Ta funkcja przywraca oryginalną zawartość i czasy dostępu/modyfikowane pliku bootstrap.min.css po 15 sekundach opóźnienia, skutecznie usuwając ślady wyników poleceń.

Głównym celem wydaje się minimalizacja dowodów wykonania polecenia, wymagająca ekstrakcji wyników w ciągu 15 sekund przed nadpisaniem pliku.

Badacze zaobserwowali, jak ugrupowanie zagrażające zdalnie wykorzystuje zaporę ogniową w celu ustanowienia powłoki odwrotnej, zdobycia dodatkowych narzędzi, penetracji sieci wewnętrznych i ostatecznie wydobycia danych. Dokładny zakres kampanii pozostaje niepewny. Aktor został nazwany UTA0218, co charakteryzuje się zaawansowanymi możliwościami i szybkością realizacji, co wskazuje na wykwalifikowanego ugrupowanie zagrażające, posiadające z góry określoną strategię osiągnięcia swoich celów.

Początkowo UTA0218 skupiał się na pozyskiwaniu kluczy DPAPI kopii zapasowych domeny i atakowaniu poświadczeń Active Directory w celu uzyskania pliku NTDS.DIT. Próbowali także złamać zabezpieczenia stacji roboczych użytkowników w celu kradzieży zapisanych plików cookie, danych logowania i kluczy DPAPI.

Organizacjom zaleca się monitorowanie oznak wewnętrznego ruchu bocznego.

CISA ostrzega przed luką CVE-2024-3400

Rozwój sytuacji wokół luki CVE-2024-3400 skłonił amerykańską Agencję ds. Bezpieczeństwa Cyberbezpieczeństwa i Infrastruktury (CISA) do umieszczenia tej luki w swoim katalogu znanych luk w zabezpieczeniach (KEV), nakazując agencjom federalnym zastosowanie poprawek w celu ograniczenia potencjalnych zagrożeń.

Celowanie w urządzenia brzegowe pozostaje ulubionym wektorem ataków wykwalifikowanych cyberprzestępców, którzy potrzebują niezbędnego czasu i zasobów, aby zbadać nowe luki w zabezpieczeniach.

Biorąc pod uwagę zasoby wymagane do opracowania i wykorzystania takiej luki, charakter docelowych ofiar oraz zademonstrowane możliwości w zakresie instalowania backdoora w języku Python i infiltrowania sieci ofiar, jest wysoce prawdopodobne, że UTA0218 jest ugrupowaniem zagrożenia wspieranym przez państwo.