информационная безопасностьПодразделение Unit 42 компании назвало это действие Operation MidnightEclipse и приписало его неизвестному субъекту угроз.
Номер этой уязвимости безопасности таков CVE-2024-3400(CVSS оценка: 10.0), это уязвимость инъекции команд, которая позволяет неавторизованному злоумышленнику выполнить произвольный код с привилегиями root на брандмауэре.
Важно отметить, что эта проблема относится только к конфигурациям брандмауэров PAN-OS 10.2, PAN-OS 11.0 и PAN-OS 11.1 с включенным шлюзом GlobalProtect и телеметрией устройств.
Операция Midnight Eclipse использует эту уязвимость для создания задания cron, которое запускается раз в минуту для получения информации от задания cron, размещенного на внешнем сервере ("172.233.228[...] 93/policy" или "172.233.228[...]"). 93/policy" или "172.233.228[...] 93/patch"), а затем выполняет эти команды с помощью оболочки bash.
Злоумышленник якобы вручную управлял списком контроля доступа (ACL) командно-контрольного (C2) сервера, чтобы обеспечить доступ к нему только устройств, взаимодействующих с ним.
Хотя точная природа команды неизвестна, есть подозрение, что URL является средством доставки бэкдора на основе Python в брандмауэре, который компания Volexity (обнаружившая эксплойт CVE-2024-3400 в дикой природе 10 апреля 2024 года) прослеживает до UPSTYLE и размещает на другом сервере ("144.172. .79[.] 92" и "nhdata.s3-us-west-2.amazonaws[.] com").
Python-файл предназначен для записи и запуска другого Python-скрипта ("system.pth"), который затем декодирует и запускает встроенный компонент бэкдора, отвечающий за выполнение команд агента угрозы в файле с именем "sslvpn_ngx_error.log". Затем скрипт декодирует и запускает встроенный компонент бэкдора, который отвечает за выполнение команд агента угрозы в файле с именем "sslvpn_ngx_error.log". Результаты записываются в отдельный файл с именем "bootstrap.min.css".
Наиболее интересным аспектом цепочки атак является то, что оба файла, используемые для извлечения команд и записи результатов, являются легитимными файлами, связанными с брандмауэром:
/var/log/pan/sslvpn_ngx_error.log
/var/appweb/sslvpndocs/global-protect/portal/css/bootstrap.min.css
Что касается того, как команды записываются в журнал ошибок веб-сервера, то угрожающий агент подделывает специально созданный веб-запрос к несуществующей веб-странице, содержащей определенный шаблон. Затем бэкдор анализирует лог-файл и ищет строки, соответствующие одному и тому же регулярному выражению ("img\[([a-zA-Z0-9+/=]+)\]"), чтобы декодировать и выполнить содержащиеся в нем команды.
В блоке 42 говорится: "Затем сценарий создает еще один поток, который запускает функцию restore. restore берет исходное содержимое файла bootstrap.min.css и исходное время доступа и модификации, спит 15 секунд, записывает исходное содержимое обратно в файл и устанавливает время доступа и модификации на исходное время".
Основная цель - не оставить следов вывода команды, поэтому результаты должны быть получены в течение 15 секунд, прежде чем файл будет перезаписан.
В своем анализе компания Volexity заявила, что наблюдала, как угрожающие лица удаленно эксплуатировали брандмауэры для создания обратных оболочек, загрузки дополнительных инструментов, получения доступа к внутренним сетям и, в конечном итоге, компрометации данных. Точный масштаб кампании пока неизвестен. Компания назвала противника UTA0218.
Компания, занимающаяся вопросами кибербезопасности, заявила: "Методы и скорость, использованные злоумышленником, говорят о том, что это очень способный субъект угроз, имеющий четкий план действий и знающий, как получить доступ к информации для достижения своих целей".
"Первоначальной целью UTA0218 было получение DPAPI-ключей резервного копирования домена и атака на учетные данные Active Directory путем получения файлов NTDS.DIT. Далее они атаковали рабочие станции пользователей, чтобы украсть сохраненные файлы cookie и данные для входа в систему, а также DPAPI-ключ пользователя."
Организациям рекомендуется искать признаки латерального перемещения в своих устройствах Palo Alto Networks GlobalProtect Firewall.
Уязвимость POC или ссылка EXP:
https://hackertop.com/Thread-palo-alto-networks-zero-day-vulnerability-exploit
Оригинальная статья написана Chief Security Officer, при воспроизведении просьба указывать: https://cncso.com/ru/palo-alto-networks-zero-day-vulnerability-exploited-html.
