15/04/24
Эксперты компании Volexity, ответственные за обнаружение ошибки, а также специалисты Unit 42 из самой Palo Alto Networks, максимально подробно расписали как саму уязвимость, так и атаки с её использованием, пишет Securitylab.Как сообщается, первые случаи эксплуатации CVE-2024-3400 были зафиксированы ещё 26 марта, за несколько недель до фактического обнаружения, в связи с чем уязвимость получает статус zero-day.
Атаки с использованием данной бреши специалисты Palo Alto отслеживают под кодовым названием «MidnightEclipse», отмечая, что за ними стоит хакер-одиночка, чьё происхождение пока не было определено.
Уязвимость, получившая максимальный рейтинг критичности по шкале CVSS (10 баллов), позволяет неаутентифицированным атакующим выполнять произвольный код с правами администратора на устройствах сетевого брандмауэра Palo Alto Networks. Проблема затрагивает конфигурации брандмауэров на PAN-OS 10.2, 11.0 и 11.1 с включёнными опциями шлюза GlobalProtect и сбором телеметрии.
Атакующие используют выявленную уязвимость для создания задания cron, которое каждую минуту запрашивает команды с внешнего сервера и выполняет их. Эти команды могут включать в себя Python-скрипты, которые устанавливают дополнительные вредоносные модули.
Наиболее интересным аспектом атаки является то, что оба файла, используемые для извлечения команд и записи результатов, являются законными файлами, связанными с брандмауэром:
- /var/log/pan/sslvpn_ngx_error.log
- /var/appweb/sslvpndocs/global-protect/портал/css/bootstrap.min.css
Как сообщается, атакующий специально создаёт сетевые запросы к несуществующим веб-страницам, чтобы внедрить код в журнал ошибок веб-сервера, который затем используется для дальнейших зловредных действий.
Киберэксперты из компании Volexity отметили, что злоумышленники использовали брандмауэры Palo Alto для создания обратного соединения, загрузки дополнительных инструментов, проникновения во внутренние сети и кражи данных. Оценить полный масштаб кампании пока не представляется возможным.
Ранее Palo Alto Networks планировала выпустить исправления не позднее 14 апреля, однако на момент публикации новости на странице уязвимости указано, что исправлены лишь некоторые уязвимые выпуски PAN-OS, в частности, 10.2.9-h1, 11.0.4-h1 и 11.1.2-h3. Вполне возможно, что они были самыми распространёнными, поэтому компания начала с них. Для ещё 15 выпусков PAN-OS примерные даты выпуска исправления разнятся от 15 до 19 апреля.
