Vulnerabilitatea CVE-2024-3400
Din 26 martie 2024, actorii amenințărilor au profitat de o vulnerabilitate recent dezvăluită zero-day în software-ul PAN-OS Palo Alto Networks. Denumită Operațiunea MidnightEclipse de către cercetători, această activitate este atribuită unui singur actor de amenințare neidentificat.
Vulnerabilitatea, cunoscută sub numele de CVE-2024-3400 și evaluată cu un scor CVSS de 10,0, este un defect de injectare a comenzii. Permite hackerilor neautentificați să execute cod arbitrar cu privilegii root pe firewall-urile afectate. În special, această problemă afectează numai configurațiile PAN-OS 10.2, PAN-OS 11.0 și PAN-OS 11.1 cu gateway-ul GlobalProtect și telemetria dispozitivului activate.
Cuprins
Atacatorii exploatează vulnerabilitatea CVE-2024-3400 pentru a oferi un program malware Backdoor
Operațiunea MidnightEclipse implică valorificarea vulnerabilității pentru a stabili un job cron care se execută în fiecare minut, preluând comenzi de pe un server extern („172.233.228.93/policy” sau „172.233.228.93/patch”) și rulându-le prin intermediul shell-ului bash.
Atacatorii au controlat manual o listă de control al accesului (ACL) pentru serverul Command-and-Control (C2), asigurându-se că numai dispozitivul care comunică o poate accesa.
Deși funcția precisă a comenzii rămâne neclară, se suspectează că va servi drept mecanism de livrare pentru o ușă din spate bazată pe Python, numită UPSTYLE de către cercetătorii care urmăresc exploatarea CVE-2024-3400. Această ușă secundară este găzduită pe un server separat („144.172.79.92” și „nhdata.s3-us-west-2.amazonaws.com”).
Fișierul Python este conceput pentru a crea și executa un alt script Python („system.pth”), care, la rândul său, decodifică și lansează componenta backdoor încorporată responsabilă de executarea comenzilor actorului amenințării. Rezultatele acestor operațiuni sunt înregistrate într-un fișier numit „sslvpn_ngx_error.log”, în timp ce un alt fișier numit „bootstrap.min.css” înregistrează activitate suplimentară.
Atacatorii caută să colecteze informații sensibile de pe dispozitivele infectate
Un aspect notabil al lanțului de atac este utilizarea fișierelor legitime asociate cu firewall-ul atât pentru extragerea comenzilor, cât și pentru înregistrarea rezultatelor:
- /var/log/pan/sslvpn_ngx_error.log
- /var/appweb/sslvpndocs/global-protect/portal/css/bootstrap.min.css
Pentru a scrie comenzi în jurnalul de erori al serverului web, actorul amenințării creează solicitări specifice de rețea care vizează o pagină web inexistentă cu un anumit model. Ulterior, backdoor scanează fișierul jurnal pentru linii care se potrivesc cu o expresie regulată predefinită ('img[([a-zA-Z0-9+/=]+)]') pentru a decoda și a executa comenzile încorporate.
În plus, scriptul generează un fir nou pentru a executa o funcție numită „restaurare”. Această funcție restabilește conținutul original și timpii de acces/modificat ale fișierului bootstrap.min.css după o întârziere de 15 secunde, ștergând efectiv urmele de ieșiri ale comenzii.
Obiectivul principal pare să fie minimizarea dovezilor de execuție a comenzii, necesitând exfiltrarea rezultatelor în 15 secunde înainte de suprascrierea fișierului.
Cercetătorii au observat că actorul amenințării exploatează de la distanță firewall-ul pentru a stabili un shell invers, pentru a obține instrumente suplimentare, pentru a pătrunde în rețelele interne și, în cele din urmă, pentru a extrage date. Scopul exact al campaniei rămâne incert. Actorul a fost supranumit UTA0218, prezentând capabilități avansate și execuție rapidă, indicând un actor priceput al amenințărilor cu o strategie predefinită pentru a-și atinge obiectivele.
Inițial, UTA0218 s-a concentrat pe achiziționarea de chei DPAPI de rezervă de domeniu și pe direcționarea acreditărilor de director activ pentru a obține fișierul NTDS.DIT. De asemenea, au căutat să compromită stațiile de lucru ale utilizatorilor pentru a fura cookie-uri salvate, datele de conectare și cheile DPAPI.
Organizațiile sunt sfătuite să monitorizeze semnele de mișcare laterală internă.
CISA avertizează despre vulnerabilitatea CVE-2024-3400
Evoluțiile din jurul vulnerabilității CVE-2024-3400 au determinat agenția americană de securitate cibernetică și de securitate a infrastructurii (CISA) să includă defectul în catalogul său de vulnerabilități exploatate cunoscute (KEV), obligând agențiile federale să aplice patch-uri pentru atenuarea potențialelor amenințări.
Direcționarea dispozitivelor de vârf rămâne un vector de atac favorit pentru actorii calificați care au nevoie de timpul și resursele necesare pentru a explora noi vulnerabilități.
Având în vedere resursele necesare pentru dezvoltarea și exploatarea unei astfel de vulnerabilități, natura victimelor vizate și capacitățile demonstrate în instalarea backdoor-ului Python și infiltrarea rețelelor de victime, este foarte probabil ca UTA0218 să fie un actor de amenințare susținut de stat.
