CVE-2024-3400 Sårbarhet beror på kommandoinjektionsfel

Cyberangripare har utnyttjat en nyligen avslöjad sårbarhet i Palo Alto Networks PAN-OS-programvara sedan den 26 mars 2024, nästan tre veckor innan den offentliggjordes. Denna aktivitet, identifierad av Palo Alto Networks enhet 42 division som Operation Midnight Eclipse, tillskrivs en enda oidentifierad hotaktör.

Säkerhetsbristen, känd som CVE-2024-3400 med en allvarlighetsgrad på 10,0, tillåter obehöriga angripare att köra godtycklig kod med root-privilegier på berörda brandväggar. Denna sårbarhet påverkar särskilt PAN-OS 10.2, PAN-OS 11.0 och PAN-OS 11.1-konfigurationer med GlobalProtect-gateway och enhetstelemetri aktiverade.

Operation MidnightEclipse innebär att man utnyttjar denna brist för att ställa in en återkommande uppgift som hämtar kommandon från en extern server och exekverar dem med bash-skalet. Angriparna hanterar noggrant en åtkomstkontrolllista för kommando-och-kontrollservern för att begränsa åtkomsten endast till den kommunicerande enheten.

Python-bakdörr misstänks vara en del av attacken

Även om de specifika kommandona förblir oupptäckta, misstänks det att en Python-baserad bakdörr, spårad som UPSTYLE av Volexity, levereras via en URL som finns på en separat server. Denna bakdörr, vid körning, skriver och kör ett annat Python-skript som ansvarar för att utföra angriparens kommandon, med resultat inloggade i legitima brandväggsfiler.

En anmärkningsvärd aspekt av denna attack är användningen av autentiska brandväggsfiler för kommandoextraktion och resultatskrivning. Kommandona skrivs till brandväggens fellogg genom skapade nätverksbegäranden till en obefintlig webbsida, vilket utlöser specifika mönster som bakdörren sedan avkodar och exekverar.

För att dölja spår av kommandoutgångar anropas en funktion som kallas "återställning" för att återställa filen bootstrap.min.css till dess ursprungliga tillstånd efter 15 sekunder, vilket raderar bevis för kommandona. Volexity observerade att hotaktören utnyttjade brandväggen för att skapa ett omvänt skal, ladda ner verktyg, penetrera interna nätverk och exfiltrera data, även om omfattningen av kampanjen är fortfarande osäker. Motståndaren identifieras som UTA0218 av Volexity.

År Zaib
April 15, 2024
Computer Security
Svenska
April 15, 2024
Computer Security

Populära inlägg

Softcnapp potentiellt oönskad applikation

2 months sedan

Fel: Ox800VDS popup-bedrägeri

21 days sedan

Popup-fönster "Din iCloud hackas" och "Din iPhone har blivit...

9 months sedan

Alrucs Service Trojan

12 days sedan

Remor.xyz webbläsarkapare

10 days sedan

"American Express - Uppdatera din kontoinformation"...

8 months sedan
Svenska
Läser in...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Hem

Produkter

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Support

Hjälpfiler Vanliga frågor Downloads Inquiries & Support

Företag

Om oss Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Integritetspolicy Cookie Policy Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows är ett varumärke som tillhör Microsoft, registrerat i USA och andra länder.
Mac, iPhone, iPad och App Store är varumärken som tillhör Apple Inc., registrerade i USA och andra länder.
iOS är ett registrerat varumärke som tillhör Cisco Systems, Inc. och/eller dess dotterbolag i USA och vissa andra länder.
Android och Google Play är varumärken som tillhör Google LLC.