CVE-2024-3400 漏洞与命令注入缺陷有关

自 2024 年 3 月 26 日起，网络攻击者就开始利用 Palo Alto Networks PAN-OS 软件中最近披露的漏洞，这比该漏洞公开披露早了近三周。Palo Alto Networks 的 Unit 42 部门将此活动确定为“午夜日蚀行动”，并认为是单个身份不明的威胁行为者所为。

该安全漏洞名为 CVE-2024-3400，严重性评分为 10.0，允许未经授权的攻击者在受影响的防火墙上以 root 权限运行任意代码。值得注意的是，此漏洞会影响启用了 GlobalProtect 网关和设备遥测的 PAN-OS 10.2、PAN-OS 11.0 和 PAN-OS 11.1 配置。

MidnightEclipse 行动利用此漏洞设置一个重复任务，从外部服务器获取命令并使用 bash shell 执行这些命令。攻击者精心管理命令和控制服务器的访问控制列表，以将访问限制在仅通信设备上。

Python 后门疑似为攻击的一部分

虽然具体命令尚未披露，但人们怀疑一个基于 Python 的后门（Volexity 追踪为 UPSTYLE）通过托管在单独服务器上的 URL 进行传播。该后门在执行时会编写并运行另一个 Python 脚本，负责执行攻击者的命令，并将结果记录在合法的防火墙文件中。

此次攻击的一个显著特点是使用真实的防火墙文件来提取命令并写入结果。这些命令通过精心设计的网络请求写入防火墙的错误日志，该请求指向一个不存在的网页，从而触发特定模式，然后后门会对其进行解码并执行。

为了隐藏命令输出的痕迹，会调用名为“restore”的函数在 15 秒后将 bootstrap.min.css 文件恢复到其原始状态，从而删除命令的证据。Volexity 观察到威胁行为者利用防火墙建立反向 shell、下载工具、渗透内部网络并窃取数据，尽管该活动的程度仍不确定。Volexity 将对手识别为 UTA0218。