CVE-2024-3400 Cenueshmëria
Që nga 26 marsi 2024, aktorët e kërcënimit kanë përfituar nga një dobësi e re e zbuluar rishtazi në softuerin PAN-OS të Rrjeteve Palo Alto. I quajtur Operacioni MidnightEclipse nga studiuesit, ky aktivitet i atribuohet një aktori të vetëm kërcënimi të paidentifikuar.
Dobësia, e njohur si CVE-2024-3400 dhe e vlerësuar me një rezultat CVSS prej 10.0, është një e metë e injektimit të komandës. Ai lejon hakerat e paautentikuar të ekzekutojnë kode arbitrare me privilegje rrënjësore në muret e zjarrit të prekur. Veçanërisht, ky problem prek vetëm konfigurimet PAN-OS 10.2, PAN-OS 11.0 dhe PAN-OS 11.1 me portën GlobalProtect dhe telemetrinë e pajisjes të aktivizuar.
Tabela e Përmbajtjes
Sulmuesit shfrytëzojnë cenueshmërinë CVE-2024-3400 për të ofruar një malware në Backdoor
Operacioni MidnightEclipse përfshin shfrytëzimin e dobësisë për të krijuar një punë cron që ekzekutohet çdo minutë, marrjen e komandave nga një server i jashtëm ('172.233.228.93/policy' ose '172.233.228.93/patch') dhe ekzekutimin e tyre nëpërmjet guaskës bash.
Sulmuesit thuhet se kanë kontrolluar manualisht një listë të kontrollit të aksesit (ACL) për serverin Command-and-Control (C2), duke u siguruar që vetëm pajisja komunikuese mund të hyjë në të.
Ndërsa funksioni i saktë i komandës mbetet i paqartë, dyshohet se shërben si një mekanizëm shpërndarjeje për një derë të pasme të bazuar në Python të quajtur UPSTYLE nga studiuesit që ndjekin shfrytëzimin e CVE-2024-3400. Kjo derë e pasme është e vendosur në një server të veçantë ('144.172.79.92' dhe 'nhdata.s3-us-west-2.amazonaws.com').
Skedari Python është projektuar për të krijuar dhe ekzekutuar një skript tjetër Python ('system.pth'), i cili nga ana e tij dekodon dhe lëshon komponentin e integruar të derës së pasme përgjegjës për ekzekutimin e komandave të aktorit të kërcënimit. Rezultatet e këtyre operacioneve regjistrohen në një skedar të quajtur 'sslvpn_ngx_error.log', ndërsa një skedar tjetër me emrin 'bootstrap.min.css' regjistron aktivitet shtesë.
Sulmuesit kërkojnë të mbledhin informacione të ndjeshme nga pajisjet e infektuara
Një aspekt i dukshëm i zinxhirit të sulmit është përdorimi i skedarëve legjitimë të lidhur me murin e zjarrit si për nxjerrjen e komandave ashtu edhe për rezultatet e regjistrimit:
- /var/log/pan/sslvpn_ngx_error.log
- /var/appweb/sslvpndocs/global-protect/portal/css/bootstrap.min.css
Për të shkruar komanda në regjistrin e gabimeve të serverit të uebit, aktori i kërcënimit krijon kërkesa specifike të rrjetit që synojnë një faqe interneti joekzistente me një model të veçantë. Më pas, porta e pasme skanon skedarin e regjistrit për linja që përputhen me një shprehje të rregullt të paracaktuar ('img[([a-zA-Z0-9+/=]+)') për të deshifruar dhe ekzekutuar komandat e ngulitura.
Për më tepër, skripti krijon një thread të ri për të ekzekutuar një funksion të quajtur 'rivendosje'. Ky funksion rikthen përmbajtjen origjinale dhe kohën e aksesit/ndryshuar të skedarit bootstrap.min.css pas një vonese prej 15 sekondash, duke fshirë në mënyrë efektive gjurmët e daljeve të komandës.
Objektivi kryesor duket të jetë minimizimi i provave të ekzekutimit të komandës, duke kërkuar ekfiltrimin e rezultateve brenda 15 sekondave përpara se skedari të mbishkruhet.
Studiuesit kanë vëzhguar aktorin e kërcënimit duke shfrytëzuar nga distanca murin e zjarrit për të krijuar një guaskë të kundërt, për të marrë mjete shtesë, për të depërtuar në rrjetet e brendshme dhe përfundimisht për të nxjerrë të dhëna. Shtrirja e saktë e fushatës mbetet e paqartë. Aktori është quajtur UTA0218, duke shfaqur aftësi të avancuara dhe ekzekutim të shpejtë që tregojnë një aktor të aftë të kërcënimit me një strategji të paracaktuar për të arritur qëllimet e tyre.
Fillimisht, UTA0218 u fokusua në marrjen e çelësave DPAPI rezervë të domenit dhe shënjestrimin e kredencialeve aktive të drejtorisë për të marrë skedarin NTDS.DIT. Ata gjithashtu kërkuan të kompromentonin stacionet e punës të përdoruesve për të vjedhur skedarët e ruajtur të skedarëve, të dhënat e hyrjes dhe çelësat DPAPI.
Organizatat këshillohen të monitorojnë për shenja të lëvizjes së brendshme anësore.
CISA paralajmëron për cenueshmërinë CVE-2024-3400
Zhvillimet rreth cenueshmërisë CVE-2024-3400 e shtynë Agjencinë e Sigurisë Kibernetike dhe Sigurisë së Infrastrukturës së SHBA (CISA) të përfshijë të metën në katalogun e saj të Vulnerabiliteteve të Shfrytëzuara të Njohura (KEV), duke i detyruar agjencitë federale të aplikojnë arna për zbutjen e kërcënimeve të mundshme.
Synimi i pajisjeve të skajshme mbetet një vektor sulmi i favorizuar për aktorët e aftë të kërcënimit, të cilët kanë nevojë për kohën dhe burimet e nevojshme për të eksploruar dobësitë e reja.
Duke pasur parasysh burimet e nevojshme për të zhvilluar dhe shfrytëzuar një dobësi të tillë, natyrën e viktimave të synuara dhe aftësitë e demonstruara në instalimin e dyerve të pasme të Python dhe infiltrimit të rrjeteve të viktimave, ka shumë të ngjarë që UTA0218 të jetë një aktor kërcënimi i mbështetur nga shteti.
