威胁行为者一直在利用 Palo Alto Networks PAN-OS 软件中新披露的零日漏洞,该漏洞可追溯到 2024 年 3 月 26 日,比昨天曝光早了将近三周。
这家网络安全公司的 Unit 42 部门正在以 Operation MidnightEclipse 的名义跟踪该活动,将其归因于来源不明的单个威胁行为者的工作。
该安全漏洞被跟踪为 CVE-2024-3400(CVSS 评分:10.0),是一个命令注入缺陷,使未经身份验证的攻击者能够在防火墙上以 root 权限执行任意代码。
值得注意的是,此问题仅适用于启用了 GlobalProtect 网关和设备遥测的 PAN-OS 10.2、PAN-OS 11.0 和 PAN-OS 11.1 防火墙配置。
Operation MidnightEclipse 需要利用该缺陷创建一个 cron 作业,该作业每分钟运行一次,以获取外部服务器上托管的命令 (“172.233.228[.]93/policy“或”172.233.228[.]93/patch“),然后使用 bash shell 执行。
据说攻击者手动管理了命令和控制 (C2) 服务器的访问控制列表 (ACL),以确保只能从与其通信的设备访问它。
虽然该命令的确切性质尚不清楚,但怀疑该 URL 充当防火墙上基于 Python 的后门的传递工具,Volexity(于 2024 年 4 月 10 日发现对 CVE-2024-3400 的野外利用)正在跟踪 UPSTYLE 并托管在不同的服务器上(“144.172.79[.]92“和”nhdata.s3-us-west-2.amazonaws[.]com“)。
Python 文件旨在编写和启动另一个 Python 脚本 (“system.pth”),该脚本随后解码并运行嵌入式后门组件,该组件负责在名为“sslvpn_ngx_error.log”的文件中执行威胁参与者的命令。操作的结果将写入名为“bootstrap.min.css”的单独文件中。
攻击链最有趣的方面是,用于提取命令和写入结果的文件都是与防火墙关联的合法文件 -
至于如何将命令写入 Web 服务器错误日志,威胁参与者会伪造特制的网络请求,以发送到包含特定模式的不存在的网页。然后,后门分析日志文件并搜索与同一正则表达式匹配的行 (“img\[([a-zA-Z0-9+/=]+)\]”) 以解码并在其中运行命令。
“然后,该脚本将创建另一个线程,该线程运行一个名为restore的函数,”Unit 42说。“恢复功能获取bootstrap.min.css文件的原始内容,以及原始访问和修改时间,休眠 15 秒,将原始内容写回文件,并将访问和修改时间设置为原始内容。”
主要目标似乎是避免留下命令输出的痕迹,因此需要在文件被覆盖之前的 15 秒内泄露结果。
Volexity在自己的分析中表示,它观察到威胁行为者远程利用防火墙创建反向外壳,下载其他工具,转向内部网络,并最终泄露数据。目前尚不清楚该运动的确切规模。公司已为对手分配了UTA0218的绰号。
这家美国网络安全公司表示:“攻击者采用的技巧和速度表明,这是一个能力很强的威胁行为者,他们有明确的剧本,可以进一步实现他们的目标。
“UTA0218 的最初目标是通过获取 NTDS 来获取域备份 DPAPI 密钥并定位 Active Directory 凭据。DIT 文件。他们进一步以用户工作站为目标,窃取保存的 cookie 和登录数据,以及用户的 DPAPI 密钥。
建议组织从其 Palo Alto Networks GlobalProtect 防火墙设备内部寻找横向移动的迹象。
这一发展还促使美国网络安全和基础设施安全局 (CISA) 将该漏洞添加到其已知利用漏洞 (KEV) 目录中,要求联邦机构在 4 月 19 日之前应用这些补丁以减轻潜在威胁。Palo Alto Networks 预计将在 4 月 14 日之前发布该漏洞的修复程序。
Volexity表示:“对于有能力的威胁行为者来说,针对边缘设备仍然是一个流行的攻击媒介,他们有时间和资源投资于研究新的漏洞。
“根据开发和利用这种性质的漏洞所需的资源、该行为者所针对的受害者类型以及安装 Python 后门和进一步访问受害者网络的能力,UTA0218极有可能是国家支持的威胁行为者。”
来源:【黑客在帕洛阿尔托零日攻击中部署 Python 后门 (thehackernews.com)】
