사이버 보안이 회사의 유닛 42 부서는 이 활동을 작전명 '미드나잇이클립스'로 명명하고 알려지지 않은 위협 행위자의 소행으로 추정했습니다.
이 보안 취약점의 수는 다음과 같습니다. CVE-2024-3400(CVSS 점수: 10.0)는 인증되지 않은 공격자가 방화벽에서 루트 권한으로 임의의 코드를 실행할 수 있는 명령 인젝션 취약점입니다.
이 문제는 GlobalProtect 게이트웨이 및 장치 원격 분석이 활성화된 PAN-OS 10.2, PAN-OS 11.0 및 PAN-OS 11.1 방화벽 구성에만 적용된다는 점에 유의하세요.
오퍼레이션 미드나잇 이클립스는 이 취약점을 악용하여 외부 서버에서 호스팅되는 크론 작업("172.233.228[...] 93/policy" 또는 "172.233.228[...]")에서 정보를 얻기 위해 분당 한 번 실행되는 크론 작업을 생성합니다. 93/policy" 또는 "172.233.228[...] 93/patch")를 만든 다음 bash 셸을 사용하여 해당 명령을 실행합니다.
공격자는 명령 및 제어(C2) 서버의 액세스 제어 목록(ACL)을 수동으로 관리하여 해당 서버와 통신하는 디바이스만 액세스할 수 있도록 한 것으로 추정됩니다.
명령의 정확한 성격은 알려지지 않았지만, 해당 URL은 2024년 4월 10일 야생에서 CVE-2024-3400 익스플로잇을 발견한 Volexity가 추적한 방화벽의 Python 기반 백도어 전달 수단으로 의심되며 다른 서버("144.172. .79[.] 92" 및 "nhdata.s3-us-west-2.amazonaws[.] com").
파이썬 파일은 또 다른 파이썬 스크립트("system.pth")를 작성하고 실행하도록 설계되어 있으며, 이 스크립트는 "sslvpn_ngx_error.log"라는 파일에서 위협 행위자의 명령을 실행하는 임베디드 백도어 구성 요소를 디코딩 및 실행합니다. 그런 다음 스크립트는 위협 행위자의 명령을 실행하는 임베디드 백도어 구성 요소를 디코딩하고 실행하여 "sslvpn_ngx_error.log"라는 파일에 실행합니다. 결과는 "bootstrap.min.css"라는 별도의 파일에 기록됩니다.
공격 체인에서 가장 흥미로운 점은 명령어를 추출하고 결과를 작성하는 데 사용되는 파일이 모두 방화벽과 관련된 합법적인 파일이라는 점입니다:
/var/log/pan/sslvpn_ngx_error.log
/var/appweb/sslvpndocs/global-protect/portal/css/bootstrap.min.css
웹 서버 오류 로그에 명령이 기록되는 방식은 위협 행위자가 특정 패턴이 포함된 존재하지 않는 웹 페이지로 특수하게 조작된 웹 요청을 스푸핑합니다. 그런 다음 백도어는 로그 파일을 파싱하고 동일한 정규식("img\[([a-zA-Z0-9+/=]+)\]")과 일치하는 줄을 검색하여 그 안에 있는 명령을 디코딩하고 실행합니다.
42단원에서는 "그런 다음 스크립트는 복원이라는 함수를 실행하는 다른 스레드를 만듭니다. 복원에서는 bootstrap.min.css 파일의 원본 콘텐츠와 원본 액세스 및 수정 시간을 가져와서 15초 동안 슬립하고 원본 콘텐츠를 파일에 다시 쓴 다음 액세스 및 수정 시간을 원본으로 설정합니다. 시간으로 설정합니다."
주요 목표는 명령 출력의 흔적을 남기지 않는 것이므로 파일을 덮어쓰기 전에 15초 이내에 결과를 유출해야 합니다.
Volexity는 분석 결과, 위협 행위자가 방화벽을 원격으로 악용하여 리버스 셸을 만들고, 추가 도구를 다운로드하고, 내부 네트워크에 액세스하여 궁극적으로 데이터를 손상시키는 것을 관찰했다고 밝혔습니다. 캠페인의 정확한 규모는 아직 알려지지 않았습니다. 이 회사는 공격자의 이름을 UTA0218.
사이버 보안 업체는 "공격자가 사용한 기술과 속도를 보면 명확한 행동 계획과 목표 달성을 위해 정보에 액세스하는 방법에 대한 지식을 갖춘 매우 유능한 위협 행위자임을 알 수 있습니다."라고 말했습니다.
"UTA0218의 초기 목표는 도메인 백업 DPAPI 키를 획득하고 NTDS.DIT 파일을 획득하여 Active Directory 자격 증명을 공격하는 것이었습니다. 또한 사용자 워크스테이션을 공격하여 저장된 쿠키와 로그인 데이터, 사용자의 DPAPI 키를 훔치기도 했습니다."
조직은 팔로알토 네트웍스 글로벌 프로텍트 방화벽 어플라이언스 내에서 측면 이동의 징후를 찾아볼 것을 권장합니다.
취약점 POC 또는 경험 참조:
https://hackertop.com/Thread-palo-alto-networks-zero-day-vulnerability-exploit
최고 보안 책임자의 원본 기사, 복제할 경우 출처 표시: https://cncso.com/kr/palo-alto-networks-zero-day-vulnerability-exploited.html
