La vulnerabilità CVE-2024-3400 dipende dal difetto dell'iniezione di comando
Gli aggressori informatici hanno approfittato di una vulnerabilità recentemente rivelata nel software PAN-OS di Palo Alto Networks dal 26 marzo 2024, quasi tre settimane prima che fosse resa pubblica. Questa attività, identificata dalla divisione Unit 42 di Palo Alto Networks come Operazione MidnightEclipse, è attribuita a un singolo attore della minaccia non identificato.
La falla di sicurezza, nota come CVE-2024-3400 con un punteggio di gravità di 10,0, consente agli aggressori non autorizzati di eseguire codice arbitrario con privilegi di root sui firewall interessati. In particolare, questa vulnerabilità interessa le configurazioni PAN-OS 10.2, PAN-OS 11.0 e PAN-OS 11.1 con il gateway GlobalProtect e la telemetria del dispositivo abilitati.
L'operazione MidnightEclipse prevede lo sfruttamento di questa falla per impostare un'attività ricorrente che prelevi comandi da un server esterno e li esegua utilizzando la shell bash. Gli aggressori gestiscono meticolosamente un elenco di controllo degli accessi per il server di comando e controllo per limitare l'accesso solo al dispositivo di comunicazione.
Backdoor Python sospettata come parte di un attacco
Sebbene i comandi specifici rimangano segreti, si sospetta che una backdoor basata su Python, tracciata come UPSTYLE da Volexity, venga fornita tramite un URL ospitato su un server separato. Questa backdoor, dopo l'esecuzione, scrive ed esegue un altro script Python responsabile dell'esecuzione dei comandi dell'aggressore, con i risultati registrati nei file legittimi del firewall.
Un aspetto notevole di questo attacco è l'uso di file firewall autentici per l'estrazione dei comandi e la scrittura dei risultati. I comandi vengono scritti nel registro degli errori del firewall tramite richieste di rete predisposte a una pagina Web inesistente, attivando modelli specifici che la backdoor poi decodifica ed esegue.
Per nascondere le tracce degli output dei comandi, viene richiamata una funzione chiamata "ripristino" per ripristinare il file bootstrap.min.css al suo stato originale dopo 15 secondi, cancellando le prove dei comandi. Volexity ha osservato l'autore della minaccia sfruttare il firewall per stabilire una reverse shell, scaricare strumenti, penetrare nelle reti interne ed esfiltrare dati, anche se la portata della campagna rimane incerta. L'avversario è identificato come UTA0218 da Volexity.