Palo Alto Networks 防火墙曝零日(0day)漏洞,黑客组织利用植入后门程序窃取数据

Palo Alto Networks PAN-OS 软件中存在一个严重的零日漏洞 (CVE-2024-3400),已被黑客组织 UTA0218 积极利用,攻击活动代号为“午夜日食行动”。攻击者通过该漏洞植入 Python 后门程序,获取系统权限,并在受害者网络中进行横向移动和数据窃取。受影响的设备包括启用了 GlobalProtect 网关和设备遥测功能的 PAN-OS 10.2、PAN-OS 11.0 和 PAN-OS 11.1 防火墙。Palo Alto Networks 已发布安全公告并提供修复补丁,建议用户尽快更新。

網路安全公司的 Unit 42 部门将此活动命名为“午夜日食行动”(Operation MidnightEclipse),并将其归因于一个来源不明的威胁行为者。

此安全漏洞的编号为 CVE-2024-3400(CVSS 评分:10.0),是一个命令注入漏洞,允许未经身份验证的攻击者在防火墙上以 root 权限执行任意代码。

值得注意的是,该问题仅适用于启用了 GlobalProtect 网关和设备遥测功能的 PAN-OS 10.2、PAN-OS 11.0 和 PAN-OS 11.1 防火墙配置。

“午夜日食行动”利用该漏洞创建一个 cron 作业,该作业每分钟运行一次,以获取托管在外部服务器(“172.233.228[.]93/policy”或“172.233.228[.]93/patch”)上的命令,然后使用 bash shell 执行这些命令。

据称,攻击者手动管理了命令和控制 (C2) 服务器的访问控制列表 (ACL),以确保只有与其通信的设备才能访问它。

虽然命令的确切性质尚不清楚,但怀疑该 URL 是防火墙上基于 Python 的后门的传递工具,Volexity(于 2024 年 4 月 10 日发现了 CVE-2024-3400 的野外利用)将其追踪为 UPSTYLE,并托管在不同的服务器上(“144.172.79[.]92”和“nhdata.s3-us-west-2.amazonaws[.]com”)。

该 Python 文件旨在编写并启动另一个 Python 脚本(“system.pth”),该脚本随后解码并运行嵌入式后门组件,该组件负责在名为“sslvpn_ngx_error.log”的文件中执行威胁行为者的命令。操作结果写入名为“bootstrap.min.css”的单独文件中。

攻击链中最有趣的方面是,用于提取命令和写入结果的两个文件都是与防火墙相关的合法文件:

/var/log/pan/sslvpn_ngx_error.log
/var/appweb/sslvpndocs/global-protect/portal/css/bootstrap.min.css

至于如何将命令写入 Web 服务器错误日志,威胁行为者会伪造特制的网络请求,将其发送到包含特定模式的不存在的网页。然后,后门程序解析日志文件并搜索与相同正则表达式(“img\[([a-zA-Z0-9+/=]+)\]”)匹配的行,以解码并运行其中的命令。

Unit 42 表示:“然后,该脚本将创建另一个线程,运行名为 restore 的函数。restore 函数获取 bootstrap.min.css 文件的原始内容以及原始访问和修改时间,休眠 15 秒,将原始内容写回文件,并将访问和修改时间设置为原始时间。”

Palo Alto Networks 防火墙曝零日(0day)漏洞,黑客组织利用植入后门程序窃取数据

主要目标似乎是避免留下命令输出的痕迹,因此需要在文件被覆盖之前的 15 秒内将结果泄露出去。

Volexity 在其分析中表示,它观察到威胁行为者远程利用防火墙创建反向 shell,下载其他工具,进入内部网络,并最终泄露数据。目前尚不清楚该活动的具体规模。该公司已将该对手命名为 UTA0218

这家网络安全公司表示:“攻击者所采用的技术和速度表明,这是一个能力极强的威胁行为者,他们拥有明确的行动计划,知道如何获取信息以实现其目标。”

“UTA0218 的最初目标是获取域备份 DPAPI 密钥,并通过获取 NTDS.DIT 文件来攻击活动目录凭证。他们进一步攻击用户工作站,窃取保存的 cookie 和登录数据,以及用户的 DPAPI 密钥。”

建议组织在其 Palo Alto Networks GlobalProtect 防火墙设备内部查找横向移动的迹象。

漏洞POC或EXP参考:

https://hackertop.com/Thread-palo-alto-networks-zero-day-vulnerability-exploit

原创文章,作者:首席安全官,如若转载,请注明出处:https://cncso.com/tw/palo-alto-networks-zero-day-vulnerability-exploited-html

讚! (1)
以前的 2024年4月24日 上午8:48
下一個 2024年5月13日 上午7:09