CVE-2024-3400 漏洞

自 2024 年 3 月 26 日以來，威脅行為者一直在利用 Palo Alto Networks PAN-OS 軟體中新發現的零日漏洞。研究人員將這項活動稱為“午夜月食行動”，該活動歸因於一個未知的威脅行為者。

此漏洞被稱為 CVE-2024-3400，CVSS 評分為 10.0，是一個命令注入缺陷。它允許未經身份驗證的駭客在受影響的防火牆上以 root 權限執行任意程式碼。值得注意的是，此問題僅影響啟用了 GlobalProtect 閘道和裝置遙測的 PAN-OS 10.2、PAN-OS 11.0 和 PAN-OS 11.1 設定。

攻擊者利用CVE-2024-3400漏洞傳播後門惡意軟體

MidnightEclipse 操作涉及利用漏洞建立每分鐘執行一次的 cron 作業，從外部伺服器（「172.233.228.93/policy」或「172.233.228.93/patch」）取得指令並透過 bash shell 執行它們。

據報道，攻擊者手動控制了命令與控制（C2）伺服器的存取控制清單（ACL），確保只有通訊設備可以存取它。

雖然該命令的確切功能尚不清楚，但追蹤 CVE-2024-3400 漏洞的研究人員懷疑它是基於 Python 的後門（稱為 UPSTYLE）的傳遞機制。此後門託管在單獨的伺服器（“144.172.79.92”和“nhdata.s3-us-west-2.amazonaws.com”）上。

Python 檔案旨在創建並執行另一個 Python 腳本（「system.pth」），該腳本反過來解碼並啟動負責執行威脅參與者命令的嵌入式後門元件。這些操作的結果記錄在名為「sslvpn_ngx_error.log」的檔案中，而另一個名為「bootstrap.min.css」的檔案記錄其他活動。

攻擊者試圖從受感染的設備中獲取敏感訊息

攻擊鏈的一個值得注意的方面是利用與防火牆關聯的合法文件來提取命令和記錄結果：

• /var/log/pan/sslvpn_ngx_error.log
• /var/appweb/sslvpndocs/global-protect/portal/css/bootstrap.min.css

為了將命令寫入 Web 伺服器錯誤日誌，威脅參與者會以特定模式針對不存在的網頁製作特定的網路請求。隨後，後門掃描日誌檔案以尋找與預先定義正規表示式（'img[([a-zA-Z0-9+/=]+)]'）相符的行，以解碼並執行嵌入命令。

此外，該腳本還會產生一個新執行緒來執行名為「restore」的函數。此功能在延遲15秒後恢復bootstrap.min.css檔案的原始內容和存取/修改次數，有效擦除指令輸出的痕跡。

主要目標似乎是最大限度地減少命令執行的證據，要求在文件覆蓋之前 15 秒內洩漏結果。

研究人員觀察到威脅行為者遠端利用防火牆建立反向 shell、取得額外工具、滲透內部網路並最終提取資料。活動的確切範圍仍不確定。該攻擊者被稱為 UTA0218，展示了先進的能力和快速執行能力，表明威脅攻擊者是一個熟練的威脅攻擊者，具有預先定義的策略來實現其目標。

最初，UTA0218 專注於取得網域備份 DPAPI 金鑰並定位 Active Directory 憑證以取得 NTDS.DIT 檔案。他們還試圖侵入用戶工作站以竊取保存的 cookie、登入資料和 DPAPI 金鑰。

建議組織監測內部橫向移動的跡象。

CISA 針對 CVE-2024-3400 漏洞發出警告

圍繞 CVE-2024-3400 漏洞的發展促使美國網路安全和基礎設施安全局 (CISA) 將該缺陷納入其已知利用的漏洞 (KEV) 目錄中，要求聯邦機構應用修補程式來減輕潛在威脅。

對於需要必要的時間和資源來探索新漏洞的熟練威脅參與者來說，針對邊緣設備仍然是首選的攻擊媒介。

考慮到開發和利用此類漏洞所需的資源、目標受害者的性質，以及安裝 Python 後門和滲透受害者網路的能力，UTA0218 很可能是國家支持的威脅行為者。