CVE-2024-3400 Sårbarhet avhenger av kommandoinjeksjonsfeil
Cyberangripere har utnyttet en nylig avslørt sårbarhet i Palo Alto Networks PAN-OS-programvare siden 26. mars 2024, nesten tre uker før den ble offentliggjort. Denne aktiviteten, identifisert av Palo Alto Networks Unit 42-divisjon som Operation Midnight Eclipse, tilskrives en enkelt uidentifisert trusselaktør.
Sikkerhetsfeilen, kjent som CVE-2024-3400 med en alvorlighetsgrad på 10,0, lar uautoriserte angripere kjøre vilkårlig kode med root-rettigheter på berørte brannmurer. Spesielt påvirker dette sikkerhetsproblemet PAN-OS 10.2, PAN-OS 11.0 og PAN-OS 11.1 konfigurasjoner med GlobalProtect-gateway og enhetstelemetri aktivert.
Operasjon MidnightEclipse innebærer å utnytte denne feilen for å sette opp en gjentakende oppgave som henter kommandoer fra en ekstern server og utfører dem ved hjelp av bash-skallet. Angriperne administrerer omhyggelig en tilgangskontrollliste for kommando-og-kontrollserveren for å begrense tilgangen kun til den kommuniserende enheten.
Python-bakdør mistenkes som del av angrepet
Selv om de spesifikke kommandoene forblir ukjente, er det mistanke om at en Python-basert bakdør, sporet som UPSTYLE av Volexity, leveres via en URL som ligger på en separat server. Denne bakdøren, ved kjøring, skriver og kjører et annet Python-skript som er ansvarlig for å utføre angriperens kommandoer, med resultater logget i legitime brannmurfiler.
Et bemerkelsesverdig aspekt ved dette angrepet er bruken av autentiske brannmurfiler for kommandoutvinning og resultatskriving. Kommandoene skrives til brannmurens feillogg gjennom utformede nettverksforespørsler til en ikke-eksisterende nettside, og utløser spesifikke mønstre som bakdøren deretter dekoder og utfører.
For å skjule spor av kommandoutganger, påkalles en funksjon kalt "gjenoppretting" for å tilbakestille bootstrap.min.css-filen til sin opprinnelige tilstand etter 15 sekunder, og slette bevis for kommandoene. Volexity observerte trusselaktøren som utnyttet brannmuren for å etablere et omvendt skall, laste ned verktøy, trenge inn i interne nettverk og eksfiltrere data, selv om omfanget av kampanjen fortsatt er usikker. Motstanderen er identifisert som UTA0218 av Volexity.