CVE-2024-3400 Sårbarhed afhænger af kommandoinjektionsfejl
Cyberangribere har udnyttet en nylig afsløret sårbarhed i Palo Alto Networks PAN-OS-software siden den 26. marts 2024, næsten tre uger før den blev offentliggjort. Denne aktivitet, identificeret af Palo Alto Networks' Unit 42-afdeling som Operation Midnight Eclipse, tilskrives en enkelt uidentificeret trusselsaktør.
Sikkerhedsfejlen, kendt som CVE-2024-3400 med en alvorlighedsscore på 10,0, tillader uautoriserede angribere at køre vilkårlig kode med root-rettigheder på berørte firewalls. Denne sårbarhed påvirker især PAN-OS 10.2, PAN-OS 11.0 og PAN-OS 11.1-konfigurationer med GlobalProtect-gateway og enhedstelemetri aktiveret.
Operation MidnightEclipse involverer at udnytte denne fejl til at opsætte en tilbagevendende opgave, der henter kommandoer fra en ekstern server og udfører dem ved hjælp af bash-skallen. Angriberne administrerer omhyggeligt en adgangskontrolliste til kommando-og-kontrolserveren for kun at begrænse adgangen til den kommunikerende enhed.
Python-bagdør mistænkes for at være en del af angreb
Selvom de specifikke kommandoer forbliver uoplyst, er det mistænkt, at en Python-baseret bagdør, sporet som UPSTYLE af Volexity, leveres via en URL, der er hostet på en separat server. Denne bagdør, efter udførelse, skriver og kører et andet Python-script, der er ansvarligt for at udføre angriberens kommandoer, med resultater logget i legitime firewall-filer.
Et bemærkelsesværdigt aspekt af dette angreb er brugen af autentiske firewallfiler til kommandoudtræk og resultatskrivning. Kommandoerne skrives til firewallens fejllog gennem udformede netværksanmodninger til en ikke-eksisterende webside, hvilket udløser specifikke mønstre, som bagdøren derefter afkoder og udfører.
For at skjule spor af kommandoudgange aktiveres en funktion kaldet "gendan" for at vende bootstrap.min.css-filen tilbage til dens oprindelige tilstand efter 15 sekunder, hvilket sletter bevis for kommandoerne. Volexity observerede trusselsaktøren, der udnyttede firewallen til at etablere en omvendt shell, downloade værktøjer, trænge ind i interne netværk og eksfiltrere data, selvom omfanget af kampagnen stadig er usikker. Modstanderen er identificeret som UTA0218 af Volexity.
