NetzwerksicherheitDie Abteilung Unit 42 des Unternehmens nannte die Aktivität Operation MidnightEclipse und schrieb sie einem unbekannten Bedrohungsakteur zu.
Die Nummer dieser Sicherheitslücke lautet CVE-2024-3400(CVSS score: 10.0), ist eine Befehlsinjektionsschwachstelle, die es einem nicht authentifizierten Angreifer erlaubt, beliebigen Code mit Root-Rechten auf der Firewall auszuführen.
Es ist wichtig zu beachten, dass dieses Problem nur für PAN-OS 10.2, PAN-OS 11.0 und PAN-OS 11.1 Firewall-Konfigurationen mit aktivierter GlobalProtect-Gateway- und Geräte-Telemetrie gilt.
Operation Midnight Eclipse nutzt diese Schwachstelle aus, um einen Cron-Job zu erstellen, der einmal pro Minute läuft, um Informationen von einem Cron-Job zu erhalten, der auf einem externen Server gehostet wird ("172.233.228[...] 93/policy" oder "172.233.228[...]"). 93/policy" oder "172.233.228[...] 93/patch") und führt diese Befehle dann mit der Bash-Shell aus.
Der Angreifer soll die Zugriffskontrollliste (ACL) des Command-and-Control-Servers (C2) manuell verwaltet haben, um sicherzustellen, dass nur Geräte, die mit dem Server kommunizieren, auf ihn zugreifen können.
Während die genaue Art des Befehls nicht bekannt ist, wird vermutet, dass die URL ein Übertragungsmedium für eine Python-basierte Hintertür auf der Firewall ist, die Volexity (das den CVE-2024-3400-Exploit am 10. April 2024 in freier Wildbahn entdeckte) zu UPSTYLE zurückverfolgt und auf einem anderen Server gehostet wird ("144.172 .79[.] 92" und "nhdata.s3-us-west-2.amazonaws[.] com").
Die Python-Datei dient dazu, ein weiteres Python-Skript ("system.pth") zu schreiben und zu starten, das dann die eingebettete Backdoor-Komponente entschlüsselt und ausführt, die für die Ausführung der Befehle des Bedrohungsakteurs in einer Datei namens "sslvpn_ngx_error.log" verantwortlich ist. Das Skript entschlüsselt dann die eingebettete Backdoor-Komponente, die für die Ausführung der Befehle des Bedrohungsakteurs in einer Datei namens "sslvpn_ngx_error.log" verantwortlich ist, und führt sie aus. Die Ergebnisse werden in eine separate Datei namens "bootstrap.min.css" geschrieben.
Der interessanteste Aspekt der Angriffskette ist, dass beide Dateien, die zum Extrahieren der Befehle und zum Schreiben der Ergebnisse verwendet werden, legitime Dateien sind, die mit der Firewall verbunden sind:
/var/log/pan/sslvpn_ngx_error.log
/var/appweb/sslvpndocs/global-protect/portal/css/bootstrap.min.css
Was die Art und Weise betrifft, wie die Befehle in die Fehlerprotokolle des Webservers geschrieben werden, so fälscht der Bedrohungsakteur eine speziell gestaltete Webanforderung an eine nicht existierende Webseite, die ein bestimmtes Muster enthält. Die Backdoor analysiert dann die Protokolldatei und sucht nach Zeilen, die demselben regulären Ausdruck entsprechen ("img\[([a-zA-Z0-9+/=]+)\]"), um die darin enthaltenen Befehle zu entschlüsseln und auszuführen.
In Unit 42 heißt es: "Das Skript erstellt dann einen weiteren Thread, der eine Funktion namens restore ausführt. restore nimmt den ursprünglichen Inhalt der Datei bootstrap.min.css sowie die ursprünglichen Zugriffs- und Änderungszeiten, schläft 15 Sekunden lang, schreibt den ursprünglichen Inhalt zurück in die Datei und setzt die Zugriffs- und Änderungszeiten auf die ursprüngliche Zeit."
Das Hauptziel scheint darin zu bestehen, keine Spuren der Befehlsausgabe zu hinterlassen. Daher müssen die Ergebnisse innerhalb von 15 Sekunden durchgesickert sein, bevor die Datei überschrieben wird.
Volexity hat in seiner Analyse festgestellt, dass Bedrohungsakteure aus der Ferne Firewalls ausnutzen, um Reverse Shells zu erstellen, andere Tools herunterzuladen, Zugang zu internen Netzwerken zu erhalten und schließlich Daten zu kompromittieren. Das genaue Ausmaß der Kampagne ist noch nicht bekannt. Das Unternehmen hat den Namen des Angreifers genannt UTA0218.
Das Cybersicherheitsunternehmen erklärte: "Die Techniken und die Geschwindigkeit, die der Angreifer anwendet, lassen darauf schließen, dass es sich um einen äußerst fähigen Bedrohungsakteur handelt, der einen klaren Aktionsplan hat und weiß, wie er an Informationen herankommt, um seine Ziele zu erreichen."
"Das ursprüngliche Ziel von UTA0218 war es, Domänen-Backup-DPAPI-Schlüssel zu erlangen und Active Directory-Anmeldeinformationen anzugreifen, indem NTDS.DIT-Dateien erlangt wurden. Außerdem griffen sie Benutzerarbeitsstationen an, um gespeicherte Cookies und Anmeldedaten sowie den DPAPI-Schlüssel des Benutzers zu stehlen.
Es wird empfohlen, dass Unternehmen auf Anzeichen von Seitwärtsbewegungen innerhalb ihrer Palo Alto Networks GlobalProtect Firewall Appliances achten.
Schwachstelle POC oder EXP-Referenz:
https://hackertop.com/Thread-palo-alto-networks-zero-day-vulnerability-exploit
Originalartikel von Chief Security Officer, bei Vervielfältigung bitte angeben: https://cncso.com/de/palo-alto-networks-zero-day-vulnerability-exploited.html
