CVE-2024-3400 pažeidžiamumo vyriai dėl komandos įpurškimo defekto
Kibernetiniai užpuolikai pasinaudojo neseniai atskleistu „Palo Alto Networks“ PAN-OS programinės įrangos pažeidžiamumu nuo 2024 m. kovo 26 d., ty likus beveik trims savaitėms iki jos viešo paskelbimo. Ši veikla, kurią Palo Alto Networks 42 skyriaus padalinys įvardijo kaip Operaciją Midnight Eclipse, priskiriama vienam nenustatytam grėsmės veikėjui.
Saugos trūkumas, žinomas kaip CVE-2024-3400, kurio sunkumo balas yra 10,0, leidžia neteisėtiems užpuolikams paleisti savavališką kodą su root teisėmis paveiktose ugniasienėse. Pažymėtina, kad šis pažeidžiamumas paveikia PAN-OS 10.2, PAN-OS 11.0 ir PAN-OS 11.1 konfigūracijas su įjungtu „GlobalProtect“ šliuzu ir įrenginio telemetrija.
Operacija „MidnightEclipse“ apima šio trūkumo išnaudojimą, siekiant nustatyti pasikartojančią užduotį, kuri paima komandas iš išorinio serverio ir vykdo jas naudodama „bash“ apvalkalą. Užpuolikai kruopščiai tvarko komandų ir valdymo serverio prieigos kontrolės sąrašą, kad apribotų prieigą tik prie bendraujančio įrenginio.
„Python Backdoor“ įtariama kaip atakos dalis
Nors konkrečios komandos lieka neatskleistos, įtariama, kad „Python“ pagrindu sukurtos užpakalinės durys, kurias „Volexity“ seka kaip UPSTYLE, pristatomos per URL, priglobtą atskirame serveryje. Vykdant šias užpakalines duris įrašomas ir vykdomas kitas Python scenarijus, atsakingas už užpuoliko komandų vykdymą, o rezultatai registruojami teisėtuose ugniasienės failuose.
Svarbus šios atakos aspektas yra autentiškų ugniasienės failų naudojimas komandoms išgauti ir rezultatams rašyti. Komandos įrašomos į ugniasienės klaidų žurnalą per sukurtas tinklo užklausas į neegzistuojantį tinklalapį, suaktyvindamos konkrečius šablonus, kuriuos užpakalinės durys iššifruoja ir vykdo.
Norint nuslėpti komandų išvesties pėdsakus, iškviečiama funkcija „atkurti“, kuri po 15 sekundžių grąžina pradinę failo bootstrap.min.css būseną ir ištrina komandų įrodymus. Volexity pastebėjo, kaip grėsmės veikėjas naudoja užkardą, kad sukurtų atvirkštinį apvalkalą, atsisiųstų įrankius, prasiskverbtų į vidinius tinklus ir išfiltruotų duomenis, nors kampanijos mastas lieka neaiškus. Volexity priešininką identifikavo kaip UTA0218.