CVE-2024-3400 Ranljivost
Od 26. marca 2024 akterji groženj izkoriščajo novo razkrito ranljivost ničelnega dne v programski opremi PAN-OS podjetja Palo Alto Networks. To dejavnost, ki so jo raziskovalci poimenovali Operacija Polnočni mrk, pripisujejo enemu samemu neidentificiranemu akterju grožnje.
Ranljivost, znana kot CVE-2024-3400 in ocenjena z oceno CVSS 10,0, je napaka vbrizgavanja ukaza. Nepreverjenim hekerjem omogoča izvajanje poljubne kode s korenskimi pravicami na prizadetih požarnih zidovih. Predvsem ta težava vpliva samo na konfiguracije PAN-OS 10.2, PAN-OS 11.0 in PAN-OS 11.1 z omogočenim prehodom GlobalProtect in telemetrijo naprave.
Kazalo
Napadalci izkoriščajo ranljivost CVE-2024-3400 za dostavo zlonamerne programske opreme za stranska vrata
Operacija MidnightEclipse vključuje izkoriščanje ranljivosti za vzpostavitev opravila cron, ki se izvaja vsako minuto, pridobivanje ukazov iz zunanjega strežnika ('172.233.228.93/policy' ali '172.233.228.93/patch') in njihovo izvajanje prek lupine bash.
Napadalci naj bi ročno nadzirali seznam za nadzor dostopa (ACL) za strežnik Command-and-Control (C2), s čimer so zagotovili, da lahko do njega dostopa le komunikacijska naprava.
Medtem ko natančna funkcija ukaza ostaja nejasna, se domneva, da služi kot mehanizem dostave za backdoor, ki temelji na Pythonu in so ga poimenovali UPSTYLE s strani raziskovalcev, ki sledijo izkoriščanju CVE-2024-3400. Ta stranska vrata gostujejo na ločenem strežniku ('144.172.79.92' in 'nhdata.s3-us-west-2.amazonaws.com').
Datoteka Python je zasnovana za ustvarjanje in izvajanje drugega skripta Python ('system.pth'), ki nato dekodira in zažene vdelano stransko komponento, ki je odgovorna za izvajanje ukazov akterja grožnje. Rezultati teh operacij so zabeleženi v datoteki z imenom 'sslvpn_ngx_error.log', medtem ko druga datoteka z imenom 'bootstrap.min.css' beleži dodatno dejavnost.
Napadalci poskušajo pridobiti občutljive informacije iz okuženih naprav
Pomemben vidik verige napadov je uporaba zakonitih datotek, povezanih s požarnim zidom, tako za pridobivanje ukazov kot za beleženje rezultatov:
- /var/log/pan/sslvpn_ngx_error.log
- /var/appweb/sslvpndocs/global-protect/portal/css/bootstrap.min.css
Za pisanje ukazov v dnevnik napak spletnega strežnika akter grožnje oblikuje posebne omrežne zahteve, ki ciljajo na neobstoječo spletno stran z določenim vzorcem. Nato backdoor pregleda datoteko dnevnika za vrstice, ki se ujemajo z vnaprej določenim regularnim izrazom ('img[([a-zA-Z0-9+/=]+)]'), da dekodira in izvede vdelane ukaze.
Poleg tega skript ustvari novo nit za izvajanje funkcije z imenom »obnovi«. Ta funkcija obnovi izvirno vsebino in dostopne/spremenjene čase datoteke bootstrap.min.css po 15-sekundnem zamiku, s čimer učinkovito izbriše sledi izhodov ukazov.
Zdi se, da je glavni cilj minimiziranje dokazov o izvajanju ukazov, kar zahteva ekstrakcijo rezultatov v 15 sekundah pred prepisom datoteke.
Raziskovalci so opazili, da akter grožnje na daljavo izkorišča požarni zid za vzpostavitev obratne lupine, pridobivanje dodatnih orodij, prodiranje v notranja omrežja in na koncu pridobivanje podatkov. Natančen obseg kampanje ostaja negotov. Igralec je bil poimenovan UTA0218, prikazuje pa napredne zmogljivosti in hitro izvedbo, kar kaže na izkušenega igralca groženj z vnaprej določeno strategijo za doseganje svojih ciljev.
Sprva se je UTA0218 osredotočil na pridobivanje varnostnih ključev DPAPI domene in ciljanje na poverilnice aktivnega imenika za pridobitev datoteke NTDS.DIT. Prav tako so poskušali ogroziti uporabniške delovne postaje, da bi ukradli shranjene piškotke, podatke za prijavo in ključe DPAPI.
Organizacijam svetujemo, da spremljajo znake notranjega stranskega gibanja.
CISA opozarja na ranljivost CVE-2024-3400
Razvoj okoli ranljivosti CVE-2024-3400 je ameriško agencijo za kibernetsko in infrastrukturno varnost (CISA) spodbudil, da je napako vključila v svoj katalog znanih izkoriščenih ranljivosti (KEV), s čimer je zveznim agencijam naložila uporabo popravkov za ublažitev potencialnih groženj.
Ciljanje na robne naprave ostaja priljubljen vektor napadov za usposobljene akterje groženj, ki potrebujejo potreben čas in sredstva za raziskovanje novih ranljivosti.
Glede na vire, potrebne za razvoj in izkoriščanje takšne ranljivosti, naravo ciljnih žrtev in prikazane zmožnosti nameščanja zakulisnih vrat Python in infiltracije v omrežja žrtev, je zelo verjetno, da je UTA0218 akter grožnje, ki ga podpira država.
