クリエイションセンター
  1. 最高セキュリティ責任者
  2. 情報収集

パロアルトネットワークスのファイアウォールにゼロデイ脆弱性、ハッカー集団が侵入したバックドアでデータを盗む

最高セキュリティ責任者 情報収集 1123 ビュー

Palo Alto NetworksのPAN-OSソフトウェアに存在する致命的なゼロデイ脆弱性(CVE-2024-3400)が、ハッカーグループUTA0218によって「Operation Midnight Eclipse」のコードネームで攻撃キャンペーンで積極的に悪用されています。この脆弱性により、攻撃者はPythonバックドアを仕掛け、システム特権を獲得し、被害者のネットワーク上で横移動とデータ窃盗を行うことができます。影響を受けるデバイスには、GlobalProtectゲートウェイおよびデバイスのテレメトリーが有効になっているPAN-OS 10.2、PAN-OS 11.0、およびPAN-OS 11.1ファイアウォールが含まれます。パロアルトネットワークスは、修正パッチを含むセキュリティアドバイザリを発行しており、ユーザーはできるだけ早くアップデートすることを推奨しています。

サイバーセキュリティ同社のUnit 42部門は、この活動をOperation MidnightEclipseと名付け、未知の脅威行為者に起因するとしている。

このセキュリティ脆弱性の番号は CVE-2024-3400(CVSSスコア: 10.0)は、コマンドインジェクションの脆弱性であり、認証されていない攻撃者がファイアウォールのroot権限で任意のコードを実行できる可能性があります。

この問題は、GlobalProtectゲートウェイとデバイスのテレメトリが有効になっているPAN-OS 10.2、PAN-OS 11.0、およびPAN-OS 11.1ファイアウォール構成にのみ適用されることに注意してください。

Operation Midnight Eclipseはこの脆弱性を悪用し、外部サーバー("172.233.228[...] 93/policy "または "172.233.228[...]")でホストされているcronジョブから情報を取得するために、1分間に1回実行されるcronジョブを作成します。93/policy "または "172.233.228[...] 93/patch")。93/patch")を指定し、bashシェルを使用してこれらのコマンドを実行する。

攻撃者は、コマンド・アンド・コントロール(C2)サーバーのアクセス・コントロール・リスト(ACL)を手動で管理し、C2サーバーと通信するデバイスだけがアクセスできるようにしていたとされる。

コマンドの正確な性質は不明だが、このURLはファイアウォール上のPythonベースのバックドアの配信手段であることが疑われており、Volexity(2024年4月10日にCVE-2024-3400の悪用を発見)はUPSTYLEを追跡し、別のサーバー(「144.172.79[.]92 "と "nhdata.s3-us-west-2.amazonaws[.]com")。

このPythonファイルは、別のPythonスクリプト("system.pth")を書き込んで起動するように設計されており、このスクリプトは、「sslvpn_ngx_error.log」という名前のファイル内の脅威行為者のコマンドを実行する役割を担う埋め込みバックドアコンポーネントをデコードして実行します。スクリプトは次に、「sslvpn_ngx_error.log」という名前のファイル内の脅威行為者のコマンドを実行する役割を担う埋め込みバックドア コンポーネントをデコードして実行します。結果は「bootstrap.min.css」という別のファイルに書き込まれます。

攻撃チェーンの最も興味深い点は、コマンドの抽出と結果の書き込みに使用されるファイルが、いずれもファイアウォールに関連する正規のファイルであることだ:

/var/log/pan/sslvpn_ngx_error.log
/var/appweb/sslvpndocs/global-protect/portal/css/bootstrap.min.css

コマンドがどのようにウェブサーバーのエラーログに書き込まれるかというと、脅威者は特定のパターンを含む存在しないウェブページへの特別に細工されたウェブリクエストを偽装する。そしてバックドアはログファイルを解析し、同じ正規表現("img[([a-zA-Z0-9+/=]+)˶")に一致する行を検索し、その中のコマンドをデコードして実行する。

restoreは、bootstrap.min.cssファイルの元の内容と、元のアクセス時間と変更時間を受け取り、15秒間スリープし、元の内容をファイルに書き戻し、アクセス時間と変更時間を元の時間に設定します。に設定する。"

パロアルトネットワークスのファイアウォールにゼロデイ脆弱性、ハッカー集団が侵入したバックドアでデータを盗む

主な目的は、コマンド出力の痕跡を残さないことらしいので、ファイルが上書きされる15秒以内に結果が漏れる必要がある。

Volexity社の分析によると、脅威者はファイアウォールを遠隔操作してリバースシェルを作成し、追加ツールをダウンロードし、内部ネットワークにアクセスし、最終的にデータを侵害することが確認されたという。キャンペーンの正確な規模はまだわかっていない。同社は敵対者を UTA0218

サイバーセキュリティ会社は、「攻撃者が採用したテクニックとスピードは、明確な行動計画を持ち、目的を達成するために情報にアクセスする方法を知っている、極めて有能な脅威行為者であることを示唆している」と述べた。

"UTA0218の最初の目的は、ドメインのバックアップDPAPIキーを取得し、NTDS.DITファイルを取得することでActive Directoryの認証情報を攻撃することでした。さらにユーザーのワークステーションを攻撃し、保存されたクッキーとログインデータ、そしてユーザーのDPAPIキーを盗み出しました。"

組織は、Palo Alto Networks GlobalProtect Firewall アプライアンス内で横方向の動きの兆候を探すことを推奨します。

脆弱性POCまたはEXPリファレンス:

https://hackertop.com/Thread-palo-alto-networks-zero-day-vulnerability-exploit

元記事はChief Security Officerによるもので、転載の際はhttps://cncso.com/jp/palo-alto-networks-zero-day-vulnerability-exploited.html。

のように (1)
0 0

著者について

最高セキュリティ責任者

最高セキュリティ責任者

93 投稿
4 コメント
2 フォロワー
最高セキュリティ責任者 (cncso.com)
前の 2024年4月24日(金)午前8時48分
2024年5月13日(金) 午前7時9分

コメントを残す

コメントするにはログインしてください