CVE-2024-3400 sebezhetőségi csuklópántok a parancs befecskendezési hibáján
A kibertámadók 2024. március 26. óta használják ki a Palo Alto Networks PAN-OS szoftverének nemrégiben feltárt sebezhetőségét, majdnem három héttel a nyilvánosságra hozatal előtt. Ez a tevékenység, amelyet a Palo Alto Networks 42-es osztálya Operation MidnightEclipse néven azonosított, egyetlen azonosítatlan fenyegetés szereplőjének tulajdonítható.
A CVE-2024-3400 néven ismert, 10.0-s súlyossági fokú biztonsági hiba lehetővé teszi az illetéktelen támadók számára, hogy tetszőleges kódot futtatjanak root jogosultságokkal az érintett tűzfalakon. Ez a biztonsági rés különösen a PAN-OS 10.2, PAN-OS 11.0 és PAN-OS 11.1 konfigurációkat érinti, amelyeknél engedélyezve van a GlobalProtect átjáró és az eszköztelemetria.
A MidnightEclipse művelet során ezt a hibát kihasználva olyan ismétlődő feladatot állítanak be, amely lekéri a parancsokat egy külső szerverről, és végrehajtja azokat a bash shell használatával. A támadók aprólékosan kezelik a parancs- és vezérlőkiszolgáló hozzáférés-vezérlési listáját, hogy csak a kommunikáló eszközhöz korlátozzák a hozzáférést.
A Python Backdoor a támadás részeként gyaníthatóan
Bár a konkrét parancsokat nem hozták nyilvánosságra, gyaníthatóan egy Python-alapú hátsó ajtó, amelyet a Volexity UPSTYLE-ként követett nyomon, egy külön szerveren tárolt URL-en keresztül érkezik. Ez a hátsó ajtó végrehajtáskor egy másik Python-szkriptet ír és futtat, amely a támadó parancsainak végrehajtásáért felelős, és az eredményeket törvényes tűzfalfájlokba naplózza.
Ennek a támadásnak egy figyelemre méltó aspektusa az autentikus tűzfalfájlok használata a parancsok kivonásához és az eredmények írásához. A parancsok a tűzfal hibanaplójába íródnak egy nem létező weboldalra küldött, kialakított hálózati kéréseken keresztül, amelyek meghatározott mintákat váltanak ki, amelyeket a hátsó ajtó dekódol és végrehajt.
A parancskimenetek nyomainak elrejtése érdekében a "restore" nevű függvény meghívása 15 másodperc után visszaállítja a bootstrap.min.css fájlt az eredeti állapotába, törölve a parancsok bizonyítékát. A Volexity megfigyelte, hogy a fenyegetést kihasználó szereplő a tűzfalat fordított héj létrehozására, eszközök letöltésére, belső hálózatokba való behatolásra és adatok kiszivárgására használta, bár a kampány mértéke továbbra is bizonytalan. Az ellenfelet a Volexity UTA0218-ként azonosította.