サイバーセキュリティ同社のUnit 42部門は、この活動をOperation MidnightEclipseと名付け、未知の脅威行為者に起因するとしている。
このセキュリティ脆弱性の番号は CVE-2024-3400(CVSSスコア: 10.0)は、コマンドインジェクションの脆弱性であり、認証されていない攻撃者がファイアウォールのroot権限で任意のコードを実行できる可能性があります。
この問題は、GlobalProtectゲートウェイとデバイスのテレメトリが有効になっているPAN-OS 10.2、PAN-OS 11.0、およびPAN-OS 11.1ファイアウォール構成にのみ適用されることに注意してください。
Operation Midnight Eclipseはこの脆弱性を悪用し、外部サーバー("172.233.228[...] 93/policy "または "172.233.228[...]")でホストされているcronジョブから情報を取得するために、1分間に1回実行されるcronジョブを作成します。93/policy "または "172.233.228[...] 93/patch")。93/patch")を指定し、bashシェルを使用してこれらのコマンドを実行する。
攻撃者は、コマンド・アンド・コントロール(C2)サーバーのアクセス・コントロール・リスト(ACL)を手動で管理し、C2サーバーと通信するデバイスだけがアクセスできるようにしていたとされる。
コマンドの正確な性質は不明だが、このURLはファイアウォール上のPythonベースのバックドアの配信手段であることが疑われており、Volexity(2024年4月10日にCVE-2024-3400の悪用を発見)はUPSTYLEを追跡し、別のサーバー(「144.172.79[.]92 "と "nhdata.s3-us-west-2.amazonaws[.]com")。
このPythonファイルは、別のPythonスクリプト("system.pth")を書き込んで起動するように設計されており、このスクリプトは、「sslvpn_ngx_error.log」という名前のファイル内の脅威行為者のコマンドを実行する役割を担う埋め込みバックドアコンポーネントをデコードして実行します。スクリプトは次に、「sslvpn_ngx_error.log」という名前のファイル内の脅威行為者のコマンドを実行する役割を担う埋め込みバックドア コンポーネントをデコードして実行します。結果は「bootstrap.min.css」という別のファイルに書き込まれます。
攻撃チェーンの最も興味深い点は、コマンドの抽出と結果の書き込みに使用されるファイルが、いずれもファイアウォールに関連する正規のファイルであることだ:
/var/log/pan/sslvpn_ngx_error.log
/var/appweb/sslvpndocs/global-protect/portal/css/bootstrap.min.css
コマンドがどのようにウェブサーバーのエラーログに書き込まれるかというと、脅威者は特定のパターンを含む存在しないウェブページへの特別に細工されたウェブリクエストを偽装する。そしてバックドアはログファイルを解析し、同じ正規表現("img[([a-zA-Z0-9+/=]+)˶")に一致する行を検索し、その中のコマンドをデコードして実行する。
restoreは、bootstrap.min.cssファイルの元の内容と、元のアクセス時間と変更時間を受け取り、15秒間スリープし、元の内容をファイルに書き戻し、アクセス時間と変更時間を元の時間に設定します。に設定する。"
主な目的は、コマンド出力の痕跡を残さないことらしいので、ファイルが上書きされる15秒以内に結果が漏れる必要がある。
Volexity社の分析によると、脅威者はファイアウォールを遠隔操作してリバースシェルを作成し、追加ツールをダウンロードし、内部ネットワークにアクセスし、最終的にデータを侵害することが確認されたという。キャンペーンの正確な規模はまだわかっていない。同社は敵対者を UTA0218。
サイバーセキュリティ会社は、「攻撃者が採用したテクニックとスピードは、明確な行動計画を持ち、目的を達成するために情報にアクセスする方法を知っている、極めて有能な脅威行為者であることを示唆している」と述べた。
"UTA0218の最初の目的は、ドメインのバックアップDPAPIキーを取得し、NTDS.DITファイルを取得することでActive Directoryの認証情報を攻撃することでした。さらにユーザーのワークステーションを攻撃し、保存されたクッキーとログインデータ、そしてユーザーのDPAPIキーを盗み出しました。"
組織は、Palo Alto Networks GlobalProtect Firewall アプライアンス内で横方向の動きの兆候を探すことを推奨します。
脆弱性POCまたはEXPリファレンス:
https://hackertop.com/Thread-palo-alto-networks-zero-day-vulnerability-exploit
元記事はチーフ・セキュリティ・オフィサーによるもので、転載する場合は出典を参照のこと。https://cncso.com/jp/パロアルトネットワークス、ゼロデイ脆弱性を悪とする。