Chyba zabezpečenia CVE-2024-3400
Od 26. marca 2024 využívajú aktéri hrozieb novo odhalenú zero-day zraniteľnosť v softvéri Palo Alto Networks PAN-OS. Výskumníci túto aktivitu nazvali Operation MidnightEclipse a pripisujú ju jednému neidentifikovanému aktérovi hrozby.
Zraniteľnosť, známa ako CVE-2024-3400 a hodnotená CVSS skóre 10,0, je chybou vkladania príkazov. Umožňuje neovereným hackerom spustiť ľubovoľný kód s oprávneniami root na dotknutých firewalloch. Tento problém sa týka iba konfigurácií PAN-OS 10.2, PAN-OS 11.0 a PAN-OS 11.1 so zapnutou bránou GlobalProtect a telemetriou zariadenia.
Obsah
Útočníci využívajú zraniteľnosť CVE-2024-3400 na doručenie škodlivého softvéru typu Backdoor
Operácia MidnightEclipse zahŕňa využitie zraniteľnosti na vytvorenie úlohy cron, ktorá sa vykonáva každú minútu, načítanie príkazov z externého servera ('172.233.228.93/policy' alebo '172.233.228.93/patch') a ich spustenie cez bash shell.
Útočníci údajne manuálne ovládali zoznam riadenia prístupu (ACL) pre server Command-and-Control (C2), čím zabezpečili, že k nemu bude mať prístup iba komunikujúce zariadenie.
Zatiaľ čo presná funkcia príkazu zostáva nejasná, existuje podozrenie, že slúži ako doručovací mechanizmus pre zadné dvierka založené na Pythone, ktoré výskumníci sledujú využívanie CVE-2024-3400 nazývané UPSTYLE. Tento backdoor je umiestnený na samostatnom serveri ('144.172.79.92' a 'nhdata.s3-us-west-2.amazonaws.com').
Súbor Python je navrhnutý tak, aby vytvoril a spustil ďalší skript Python („system.pth“), ktorý následne dekóduje a spustí vstavaný komponent backdoor zodpovedný za vykonávanie príkazov aktéra hrozby. Výsledky týchto operácií sa zaznamenávajú do súboru s názvom 'sslvpn_ngx_error.log', zatiaľ čo iný súbor s názvom 'bootstrap.min.css' zaznamenáva ďalšiu aktivitu.
Útočníci sa snažia získať citlivé informácie z infikovaných zariadení
Pozoruhodným aspektom reťazca útokov je využitie legitímnych súborov spojených s bránou firewall na extrahovanie príkazov a protokolovanie výsledkov:
- /var/log/pan/sslvpn_ngx_error.log
- /var/appweb/sslvpndocs/global-protect/portal/css/bootstrap.min.css
Ak chcete zapísať príkazy do protokolu chýb webového servera, aktér hrozby vytvorí špecifické sieťové požiadavky zamerané na neexistujúcu webovú stránku s konkrétnym vzorom. Následne backdoor skenuje súbor denníka, či neobsahuje riadky zodpovedajúce preddefinovanému regulárnemu výrazu ('img[([a-zA-Z0-9+/=]+)]'), aby dekódoval a vykonal vložené príkazy.
Okrem toho skript vytvorí nové vlákno na vykonanie funkcie s názvom „obnoviť“. Táto funkcia obnoví pôvodný obsah a prístupové/upravené časy súboru bootstrap.min.css po 15-sekundovom oneskorení, čím efektívne vymaže stopy po výstupoch príkazov.
Zdá sa, že primárnym cieľom je minimalizovať dôkazy o vykonaní príkazu, čo vyžaduje exfiltráciu výsledkov do 15 sekúnd pred prepísaním súboru.
Výskumníci pozorovali, ako aktér hrozby na diaľku využíva firewall na vytvorenie reverzného shellu, získanie ďalších nástrojov, prienik do vnútorných sietí a nakoniec extrahovanie údajov. Presný rozsah kampane zostáva nejasný. Herec bol nazvaný UTA0218 a predvádza pokročilé schopnosti a rýchle prevedenie, ktoré svedčí o skúsenom aktérovi hrozieb s preddefinovanou stratégiou na dosiahnutie svojich cieľov.
Spočiatku sa UTA0218 zameral na získanie záložných kľúčov DPAPI domény a zacielenie poverení aktívneho adresára na získanie súboru NTDS.DIT. Snažili sa tiež kompromitovať používateľské pracovné stanice, aby ukradli uložené súbory cookie, prihlasovacie údaje a kľúče DPAPI.
Organizáciám sa odporúča, aby monitorovali známky vnútorného laterálneho pohybu.
CISA varuje pred zraniteľnosťou CVE-2024-3400
Vývoj okolo zraniteľnosti CVE-2024-3400 podnietil Agentúru pre kybernetickú bezpečnosť a bezpečnosť infraštruktúry (CISA), aby zahrnula túto chybu do svojho katalógu známych zneužitých zraniteľností (KEV), čím poverila federálne agentúry, aby použili záplaty na zmiernenie potenciálnych hrozieb.
Zacielenie na okrajové zariadenia zostáva obľúbeným vektorom útoku pre skúsených aktérov hrozieb, ktorí potrebujú potrebný čas a zdroje na preskúmanie nových zraniteľností.
Vzhľadom na zdroje potrebné na vývoj a využitie takejto zraniteľnosti, povahu cieľových obetí a preukázané schopnosti pri inštalácii backdoor Pythonu a infiltrácii sietí obetí je vysoko pravdepodobné, že UTA0218 je štátom podporovaný aktér hrozby.
