网络安全公司的 Unit 42 部门将此活动命名为“午夜日食行动”(Operation MidnightEclipse),并将其归因于一个来源不明的威胁行为者。
此安全漏洞的编号为 CVE-2024-3400(CVSS 评分:10.0),是一个命令注入漏洞,允许未经身份验证的攻击者在防火墙上以 root 权限执行任意代码。
值得注意的是,该问题仅适用于启用了 GlobalProtect 网关和设备遥测功能的 PAN-OS 10.2、PAN-OS 11.0 和 PAN-OS 11.1 防火墙配置。
“午夜日食行动”利用该漏洞创建一个 cron 作业,该作业每分钟运行一次,以获取托管在外部服务器(“172.233.228[.]93/policy”或“172.233.228[.]93/patch”)上的命令,然后使用 bash shell 执行这些命令。
据称,攻击者手动管理了命令和控制 (C2) 服务器的访问控制列表 (ACL),以确保只有与其通信的设备才能访问它。
虽然命令的确切性质尚不清楚,但怀疑该 URL 是防火墙上基于 Python 的后门的传递工具,Volexity(于 2024 年 4 月 10 日发现了 CVE-2024-3400 的野外利用)将其追踪为 UPSTYLE,并托管在不同的服务器上(“144.172.79[.]92”和“nhdata.s3-us-west-2.amazonaws[.]com”)。
该 Python 文件旨在编写并启动另一个 Python 脚本(“system.pth”),该脚本随后解码并运行嵌入式后门组件,该组件负责在名为“sslvpn_ngx_error.log”的文件中执行威胁行为者的命令。操作结果写入名为“bootstrap.min.css”的单独文件中。
攻击链中最有趣的方面是,用于提取命令和写入结果的两个文件都是与防火墙相关的合法文件:
/var/log/pan/sslvpn_ngx_error.log
/var/appweb/sslvpndocs/global-protect/portal/css/bootstrap.min.css
至于如何将命令写入 Web 服务器错误日志,威胁行为者会伪造特制的网络请求,将其发送到包含特定模式的不存在的网页。然后,后门程序解析日志文件并搜索与相同正则表达式(“img\[([a-zA-Z0-9+/=]+)\]”)匹配的行,以解码并运行其中的命令。
Unit 42 表示:“然后,该脚本将创建另一个线程,运行名为 restore 的函数。restore 函数获取 bootstrap.min.css 文件的原始内容以及原始访问和修改时间,休眠 15 秒,将原始内容写回文件,并将访问和修改时间设置为原始时间。”
主要目标似乎是避免留下命令输出的痕迹,因此需要在文件被覆盖之前的 15 秒内将结果泄露出去。
Volexity 在其分析中表示,它观察到威胁行为者远程利用防火墙创建反向 shell,下载其他工具,进入内部网络,并最终泄露数据。目前尚不清楚该活动的具体规模。该公司已将该对手命名为 UTA0218。
这家网络安全公司表示:“攻击者所采用的技术和速度表明,这是一个能力极强的威胁行为者,他们拥有明确的行动计划,知道如何获取信息以实现其目标。”
“UTA0218 的最初目标是获取域备份 DPAPI 密钥,并通过获取 NTDS.DIT 文件来攻击活动目录凭证。他们进一步攻击用户工作站,窃取保存的 cookie 和登录数据,以及用户的 DPAPI 密钥。”
建议组织在其 Palo Alto Networks GlobalProtect 防火墙设备内部查找横向移动的迹象。
漏洞POC或EXP参考:
https://hackertop.com/Thread-palo-alto-networks-zero-day-vulnerability-exploit
原创文章,作者:首席安全官,如若转载,请注明出处:https://cncso.com/palo-alto-networks-zero-day-vulnerability-exploited.html
