Luka CVE-2024-3400 zależy od błędu wstrzykiwania poleceń
Cyberprzestępcy wykorzystują niedawno ujawnioną lukę w oprogramowaniu PAN-OS firmy Palo Alto Networks od 26 marca 2024 r., czyli prawie trzy tygodnie przed jej publicznym ujawnieniem. Działanie to, zidentyfikowane przez oddział 42 jednostki Palo Alto Networks jako Operacja MidnightEclipse, jest przypisywane pojedynczemu niezidentyfikowanemu ugrupowaniu zagrażającemu.
Luka w zabezpieczeniach, znana jako CVE-2024-3400 ze stopniem ważności 10,0, umożliwia nieautoryzowanym osobom atakującym uruchomienie dowolnego kodu z uprawnieniami roota na zaporach ogniowych, których dotyczy problem. W szczególności luka ta dotyczy konfiguracji PAN-OS 10.2, PAN-OS 11.0 i PAN-OS 11.1 z włączoną bramą GlobalProtect i telemetrią urządzenia.
Operacja MidnightEclipse polega na wykorzystaniu tej luki do skonfigurowania powtarzającego się zadania, które pobiera polecenia z serwera zewnętrznego i wykonuje je przy użyciu powłoki bash. Osoby atakujące skrupulatnie zarządzają listą kontroli dostępu dla serwera dowodzenia i kontroli, aby ograniczyć dostęp tylko do komunikującego się urządzenia.
Backdoor w Pythonie podejrzany jako część ataku
Chociaż konkretne polecenia pozostają nieujawnione, podejrzewa się, że backdoor oparty na języku Python, śledzony przez Volexity jako UPSTYLE, jest dostarczany za pośrednictwem adresu URL hostowanego na oddzielnym serwerze. Ten backdoor po uruchomieniu zapisuje i uruchamia inny skrypt w języku Python odpowiedzialny za wykonywanie poleceń atakującego, a wyniki są rejestrowane w legalnych plikach zapory ogniowej.
Godnym uwagi aspektem tego ataku jest wykorzystanie autentycznych plików zapory ogniowej do wyodrębniania poleceń i zapisywania wyników. Polecenia są zapisywane w dzienniku błędów zapory sieciowej poprzez spreparowane żądania sieciowe kierowane do nieistniejącej strony internetowej, wyzwalając określone wzorce, które następnie dekoduje i wykonuje backdoor.
Aby ukryć ślady wyników poleceń, wywoływana jest funkcja o nazwie „restore”, która przywraca plik bootstrap.min.css do pierwotnego stanu po 15 sekundach, usuwając dowody poleceń. Volexity zaobserwował, jak ugrupowanie zagrażające wykorzystuje zaporę ogniową do ustanowienia powłoki odwrotnej, pobierania narzędzi, penetrowania sieci wewnętrznych i wydobywania danych, chociaż zakres tej kampanii pozostaje niepewny. Przeciwnik jest identyfikowany przez Volexity jako UTA0218.