La vulnerabilidad CVE-2024-3400 depende de un error de inyección de comandos

Los ciberatacantes han estado aprovechando una vulnerabilidad recientemente revelada en el software PAN-OS de Palo Alto Networks desde el 26 de marzo de 2024, casi tres semanas antes de que se revelara públicamente. Esta actividad, identificada por la división Unidad 42 de Palo Alto Networks como Operación MidnightEclipse, se atribuye a un único actor de amenazas no identificado.

La falla de seguridad, conocida como CVE-2024-3400 con una puntuación de gravedad de 10,0, permite a atacantes no autorizados ejecutar código arbitrario con privilegios de root en los firewalls afectados. En particular, esta vulnerabilidad afecta a las configuraciones PAN-OS 10.2, PAN-OS 11.0 y PAN-OS 11.1 con la puerta de enlace GlobalProtect y la telemetría del dispositivo habilitadas.

Operation MidnightEclipse implica explotar esta falla para configurar una tarea recurrente que recupera comandos de un servidor externo y los ejecuta usando el shell bash. Los atacantes administran meticulosamente una lista de control de acceso para que el servidor de comando y control restrinja el acceso solo al dispositivo de comunicación.

Se sospecha que la puerta trasera de Python forma parte de un ataque

Aunque los comandos específicos no se han revelado, se sospecha que una puerta trasera basada en Python, rastreada como UPSTYLE por Volexity, se entrega a través de una URL alojada en un servidor separado. Esta puerta trasera, tras su ejecución, escribe y ejecuta otro script de Python responsable de ejecutar los comandos del atacante, y los resultados se registran en archivos de firewall legítimos.

Un aspecto notable de este ataque es el uso de archivos de firewall auténticos para la extracción de comandos y la escritura de resultados. Los comandos se escriben en el registro de errores del firewall a través de solicitudes de red diseñadas a una página web inexistente, lo que desencadena patrones específicos que la puerta trasera luego decodifica y ejecuta.

Para ocultar rastros de las salidas de los comandos, se invoca una función llamada "restaurar" para revertir el archivo bootstrap.min.css a su estado original después de 15 segundos, borrando la evidencia de los comandos. Volexity observó que el actor de amenazas explotaba el firewall para establecer un shell inverso, descargar herramientas, penetrar redes internas y exfiltrar datos, aunque el alcance de la campaña sigue siendo incierto. El adversario es identificado como UTA0218 por Volexity.

En Zaib
April 15, 2024
Computer Security
Spanish
April 15, 2024
Computer Security

Entradas populares

Aplicación Softcnapp potencialmente no deseada

Hace 2 months

Error: Estafa emergente Ox800VDS

Hace 21 days

Ventanas emergentes "Tu iCloud está siendo pirateado" y "Tu...

Hace 9 months

Troyano de servicio Alrucs

Hace 12 days

Secuestrador de navegador Remor.xyz

Hace 10 days

Estafa por correo electrónico 'American Express - Actualice la...

Hace 8 months
Spanish
Cargando...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Casa

Productos

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Soporte

Archivos de ayuda Preguntas frecuentes Downloads Inquiries & Support

Empresa

Sobre Nosotros Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Política de privacidad Política de cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows es una marca comercial de Microsoft, registrada en EE. UU. Y otros países.
Mac, iPhone, iPad y App Store son marcas comerciales de Apple Inc., registradas en EE. UU. Y otros países.
iOS es una marca comercial registrada de Cisco Systems, Inc. y / o sus afiliadas en los Estados Unidos y algunos otros países.
Android y Google Play son marcas comerciales de Google LLC.