La vulnérabilité CVE-2024-3400 dépend d'une faille d'injection de commande

Les cyber-attaquants profitent d'une vulnérabilité récemment révélée dans le logiciel PAN-OS de Palo Alto Networks depuis le 26 mars 2024, près de trois semaines avant sa divulgation publique. Cette activité, identifiée par la division Unit 42 de Palo Alto Networks comme étant l'opération MidnightEclipse, est attribuée à un seul acteur menaçant non identifié.

La faille de sécurité, connue sous le nom de CVE-2024-3400 avec un score de gravité de 10,0, permet à des attaquants non autorisés d'exécuter du code arbitraire avec les privilèges root sur les pare-feu concernés. Notamment, cette vulnérabilité affecte les configurations PAN-OS 10.2, PAN-OS 11.0 et PAN-OS 11.1 avec la passerelle GlobalProtect et la télémétrie des appareils activées.

L'opération MidnightEclipse consiste à exploiter cette faille pour mettre en place une tâche récurrente qui récupère les commandes d'un serveur externe et les exécute à l'aide du shell bash. Les attaquants gèrent méticuleusement une liste de contrôle d'accès pour le serveur de commande et de contrôle afin de restreindre l'accès uniquement au périphérique communicant.

Une porte dérobée Python soupçonnée dans le cadre d'une attaque

Bien que les commandes spécifiques ne soient pas divulguées, il est soupçonné qu'une porte dérobée basée sur Python, suivie comme UPSTYLE par Volexity, soit fournie via une URL hébergée sur un serveur distinct. Cette porte dérobée, lors de son exécution, écrit et exécute un autre script Python chargé d'exécuter les commandes de l'attaquant, avec les résultats enregistrés dans des fichiers de pare-feu légitimes.

Un aspect notable de cette attaque est l’utilisation de fichiers de pare-feu authentiques pour l’extraction de commandes et l’écriture des résultats. Les commandes sont écrites dans le journal des erreurs du pare-feu via des requêtes réseau contrefaites vers une page Web inexistante, déclenchant des modèles spécifiques que la porte dérobée décode et exécute ensuite.

Pour masquer les traces des sorties de commandes, une fonction appelée « restauration » est invoquée pour rétablir le fichier bootstrap.min.css à son état d'origine après 15 secondes, effaçant ainsi les preuves des commandes. Volexity a observé que l'acteur malveillant exploitait le pare-feu pour établir un shell inversé, télécharger des outils, pénétrer dans les réseaux internes et exfiltrer des données, bien que l'étendue de la campagne reste incertaine. L'adversaire est identifié comme UTA0218 par Volexity.

Par Zaib
April 15, 2024
Computer Security
Français
April 15, 2024
Computer Security

Articles Populaires

Softcnapp Application potentiellement indésirable

Il y a 2 months

Erreur : arnaque contextuelle Ox800VDS

Il y a 21 days

Pop-ups "Votre iCloud est piraté" et "Votre iPhone a été piraté"

Il y a 9 months

Cheval de Troie de service Alrucs

Il y a 12 days

Pirate de navigateur Remor.xyz

Il y a 10 days

Arnaque par e-mail « American Express – Mettez à jour les...

Il y a 8 months
Français
Chargement...

Cyclonis Backup Details & Terms

Le plan Free Basic Cyclonis Backup vous offre 2 Go d'espace de stockage dans le cloud avec toutes les fonctionnalités! Pas de carte de crédit nécessaire. Besoin de plus d'espace de stockage? Achetez un plan Cyclonis Backup plus important dès aujourd'hui! Pour en savoir plus sur nos politiques et nos tarifs, consultez les conditions d'utilisation, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Accueil

Produits

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Assistance

Aide FAQs Downloads Demandes d'informations et Assistance

Société

À propos de nous Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politique de confidentialité Politique de Cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows est une marque de Microsoft, déposée aux États-Unis et dans d'autres pays.
Mac, iPhone, iPad et App Store sont des marques commerciales d'Apple Inc., déposées aux États-Unis et dans d'autres pays.
iOS est une marque déposée de Cisco Systems, Inc. et/ou de ses filiales aux États-Unis et dans certains autres pays.
Android et Google Play sont des marques déposées de Google LLC.