Het beveiligingslek in CVE-2024-3400 hangt af van een fout in de opdrachtinjectie

Cyberaanvallers maken sinds 26 maart 2024 misbruik van een onlangs onthulde kwetsbaarheid in de PAN-OS-software van Palo Alto Networks, bijna drie weken voordat deze openbaar werd gemaakt. Deze activiteit, door de Unit 42-divisie van Palo Alto Networks geïdentificeerd als Operatie MidnightEclipse, wordt toegeschreven aan een enkele niet-geïdentificeerde bedreigingsacteur.

De beveiligingsfout, bekend als CVE-2024-3400 met een ernstscore van 10,0, stelt ongeautoriseerde aanvallers in staat willekeurige code met rootrechten uit te voeren op getroffen firewalls. Dit beveiligingslek treft met name PAN-OS 10.2-, PAN-OS 11.0- en PAN-OS 11.1-configuraties met GlobalProtect-gateway en apparaattelemetrie ingeschakeld.

Bij Operatie MidnightEclipse wordt gebruik gemaakt van deze fout om een terugkerende taak op te zetten die opdrachten van een externe server ophaalt en deze uitvoert met behulp van de bash-shell. De aanvallers beheren nauwgezet een toegangscontrolelijst voor de command-and-control-server om de toegang tot alleen het communicerende apparaat te beperken.

Python-backdoor verdacht als onderdeel van aanval

Hoewel de specifieke commando's niet openbaar worden gemaakt, wordt vermoed dat een op Python gebaseerde achterdeur, door Volexity bijgehouden als UPSTYLE, wordt geleverd via een URL die op een aparte server wordt gehost. Deze achterdeur schrijft en voert bij uitvoering een ander Python-script uit dat verantwoordelijk is voor het uitvoeren van de opdrachten van de aanvaller, waarbij de resultaten worden vastgelegd in legitieme firewallbestanden.

Een opmerkelijk aspect van deze aanval is het gebruik van authentieke firewallbestanden voor het extraheren van opdrachten en het schrijven van resultaten. De opdrachten worden naar het foutenlogboek van de firewall geschreven via bewerkte netwerkverzoeken naar een niet-bestaande webpagina, waardoor specifieke patronen worden geactiveerd die de achterdeur vervolgens decodeert en uitvoert.

Om sporen van commando-uitvoer te verbergen, wordt een functie genaamd "restore" aangeroepen om het bootstrap.min.css-bestand na 15 seconden terug te zetten naar de oorspronkelijke staat, waarbij het bewijs van de commando's wordt gewist. Volexity zag hoe de bedreigingsacteur de firewall uitbuitte om een reverse shell op te zetten, tools te downloaden, interne netwerken binnen te dringen en gegevens te exfiltreren, hoewel de omvang van de campagne onzeker blijft. De tegenstander wordt door Volexity geïdentificeerd als UTA0218.

Tegen Zaib
April 15, 2024
Computer Security
Nederlands
April 15, 2024
Computer Security

Populaire posts

Softcnapp mogelijk ongewenste toepassing

2 months geleden

Fout: Ox800VDS pop-upfraude

21 days geleden

Pop-ups "Uw iCloud wordt gehackt" en "Uw iPhone is gehackt".

9 months geleden

Alrucs Service Trojan

12 days geleden

Remor.xyz browserkaper

10 days geleden

'American Express - Update uw accountgegevens' E-mailfraude

8 months geleden
Nederlands
Bezig met laden...

Cyclonis Backup Details & Terms

Het gratis Basic Cyclonis Backup-abonnement geeft je 2 GB cloudopslagruimte met volledige functionaliteit! Geen kredietkaart nodig. Meer opslagruimte nodig? Koop vandaag nog een groter Cyclonis Backup-abonnement! Zie Servicevoorwaarden, Privacybeleid, Kortingsvoorwaarden en Aankooppagina voor meer informatie over ons beleid en onze prijzen. Als u de app wilt verwijderen, gaat u naar de pagina met instructies voor het verwijderen.

Cyclonis Password Manager Details & Terms

GRATIS proefversie: eenmalige aanbieding van 30 dagen! Geen creditcard vereist voor gratis proefversie. Volledige functionaliteit voor de duur van de gratis proefperiode. (Volledige functionaliteit na gratis proefversie vereist aankoop van een abonnement.) Voor meer informatie over ons beleid en onze prijzen, zie EULA, Privacybeleid, Kortingsvoorwaarden en Aankooppagina. Als u de app wilt verwijderen, gaat u naar de pagina met instructies voor het verwijderen.

Huis

Producten

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Ondersteuning

Help-bestanden Veelgestelde vragen Downloads Inquiries & Support

Bedrijf

Over ons Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Privacybeleid Cookie beleid Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows is een handelsmerk van Microsoft, geregistreerd in de VS en andere landen.
Mac, iPhone, iPad en App Store zijn handelsmerken van Apple Inc., geregistreerd in de VS en andere landen.
iOS is een gedeponeerd handelsmerk van Cisco Systems, Inc. en/of zijn dochterondernemingen in de Verenigde Staten en bepaalde andere landen.
Android en Google Play zijn handelsmerken van Google LLC.