Το σφάλμα ευπάθειας CVE-2024-3400 εξαρτάται από την εντολή ένεσης
Οι εισβολείς στον κυβερνοχώρο εκμεταλλεύονται μια ευπάθεια που αποκαλύφθηκε πρόσφατα στο λογισμικό PAN-OS της Palo Alto Networks από τις 26 Μαρτίου 2024, σχεδόν τρεις εβδομάδες πριν δημοσιοποιηθεί. Αυτή η δραστηριότητα, που προσδιορίστηκε από το τμήμα Μονάδας 42 της Palo Alto Networks ως Operation MidnightEclipse, αποδίδεται σε έναν μεμονωμένο άγνωστο παράγοντα απειλής.
Το ελάττωμα ασφαλείας, γνωστό ως CVE-2024-3400 με βαθμολογία σοβαρότητας 10,0, επιτρέπει στους μη εξουσιοδοτημένους εισβολείς να εκτελούν αυθαίρετο κώδικα με δικαιώματα root στα επηρεαζόμενα τείχη προστασίας. Συγκεκριμένα, αυτή η ευπάθεια επηρεάζει τις διαμορφώσεις PAN-OS 10.2, PAN-OS 11.0 και PAN-OS 11.1 με ενεργοποιημένη την πύλη GlobalProtect και την τηλεμετρία συσκευών.
Η λειτουργία MidnightEclipse περιλαμβάνει την εκμετάλλευση αυτού του ελαττώματος για τη ρύθμιση μιας επαναλαμβανόμενης εργασίας που ανακτά εντολές από έναν εξωτερικό διακομιστή και τις εκτελεί χρησιμοποιώντας το κέλυφος bash. Οι εισβολείς διαχειρίζονται σχολαστικά μια λίστα ελέγχου πρόσβασης για τον διακομιστή εντολών και ελέγχου για να περιορίσουν την πρόσβαση μόνο στη συσκευή επικοινωνίας.
Το Python Backdoor είναι ύποπτο ως μέρος επίθεσης
Αν και οι συγκεκριμένες εντολές παραμένουν άγνωστες, υπάρχει η υποψία ότι μια κερκόπορτα που βασίζεται σε Python, η οποία παρακολουθείται ως UPSTYLE από το Volexity, παραδίδεται μέσω μιας διεύθυνσης URL που φιλοξενείται σε ξεχωριστό διακομιστή. Αυτή η κερκόπορτα, κατά την εκτέλεση, γράφει και εκτελεί ένα άλλο σενάριο Python που είναι υπεύθυνο για την εκτέλεση των εντολών του εισβολέα, με αποτελέσματα καταγεγραμμένα σε νόμιμα αρχεία τείχους προστασίας.
Μια αξιοσημείωτη πτυχή αυτής της επίθεσης είναι η χρήση αυθεντικών αρχείων τείχους προστασίας για εξαγωγή εντολών και σύνταξη αποτελεσμάτων. Οι εντολές εγγράφονται στο αρχείο καταγραφής σφαλμάτων του τείχους προστασίας μέσω δημιουργημένων αιτημάτων δικτύου σε μια ανύπαρκτη ιστοσελίδα, ενεργοποιώντας συγκεκριμένα μοτίβα που στη συνέχεια αποκωδικοποιεί και εκτελεί το backdoor.
Για την απόκρυψη ιχνών εξόδων εντολών, καλείται μια συνάρτηση που ονομάζεται "restore" για να επαναφέρει το αρχείο bootstrap.min.css στην αρχική του κατάσταση μετά από 15 δευτερόλεπτα, διαγράφοντας τα στοιχεία των εντολών. Το Volexity παρατήρησε τον παράγοντα απειλής να εκμεταλλεύεται το τείχος προστασίας για να δημιουργήσει ένα αντίστροφο κέλυφος, να κατεβάσει εργαλεία, να διεισδύσει σε εσωτερικά δίκτυα και να διεισδύσει σε δεδομένα, αν και η έκταση της καμπάνιας παραμένει αβέβαιη. Ο αντίπαλος προσδιορίζεται ως UTA0218 από το Volexity.
