CVE-2024-3400 の脆弱性はコマンドインジェクションの欠陥に関係している
サイバー攻撃者は、パロアルトネットワークスのPAN-OSソフトウェアで最近明らかになった脆弱性を、その脆弱性が公表される約3週間前の2024年3月26日から悪用しています。パロアルトネットワークスのUnit 42部門によってOperation MidnightEclipseとして特定されたこの活動は、身元不明の単一の脅威アクターによるものとされています。
深刻度スコア 10.0 の CVE-2024-3400 として知られるこのセキュリティ上の欠陥により、権限のない攻撃者が影響を受けるファイアウォール上でルート権限で任意のコードを実行できるようになります。特に、この脆弱性は GlobalProtect ゲートウェイとデバイス テレメトリが有効になっている PAN-OS 10.2、PAN-OS 11.0、および PAN-OS 11.1 構成に影響します。
Operation MidnightEclipse では、この欠陥を悪用して、外部サーバーからコマンドを取得し、bash シェルを使用して実行する繰り返しタスクを設定します。攻撃者は、コマンド アンド コントロール サーバーのアクセス制御リストを綿密に管理して、通信デバイスのみへのアクセスを制限します。
Python バックドアが攻撃の一部と疑われる
具体的なコマンドは明らかにされていないが、Volexity が UPSTYLE として追跡している Python ベースのバックドアが、別のサーバーでホストされている URL 経由で配信されているとみられている。このバックドアは、実行されると、攻撃者のコマンドを実行する別の Python スクリプトを書き込み、実行し、その結果を正当なファイアウォール ファイルに記録する。
この攻撃の注目すべき点は、コマンドの抽出と結果の書き込みに本物のファイアウォール ファイルを使用していることです。コマンドは、存在しない Web ページへの細工されたネットワーク リクエストを通じてファイアウォールのエラー ログに書き込まれ、バックドアがデコードして実行する特定のパターンをトリガーします。
コマンド出力の痕跡を隠すために、「復元」という関数が呼び出され、15 秒後に bootstrap.min.css ファイルが元の状態に戻され、コマンドの証拠が消去されます。Volexity は、脅威アクターがファイアウォールを悪用してリバース シェルを確立し、ツールをダウンロードし、内部ネットワークに侵入し、データを盗み出すのを観察しましたが、キャンペーンの範囲は不明です。Volexity は、この攻撃者を UTA0218 として識別しています。