Hackers zetten Python Backdoor in in Palo Alto Zero-Day Attack

Bedreigingsactoren hebben misbruik gemaakt van de nieuw onthulde zero-day-fout in de PAN-OS-software van Palo Alto Networks die dateert van 26 maart 2024, bijna drie weken voordat deze gisteren aan het licht kwam.

De Unit 42-divisie van het netwerkbeveiligingsbedrijf volgt de activiteit onder de naam Operatie MidnightEclipsewaarbij het wordt toegeschreven als het werk van een enkele bedreigingsacteur van onbekende herkomst.

Het beveiligingsprobleem, bijgehouden als CVE-2024-3400 (CVSS-score: 10.0), is een opdrachtinjectiefout waarmee niet-geverifieerde aanvallers willekeurige code met rootrechten op de firewall kunnen uitvoeren.

Het is vermeldenswaard dat het probleem alleen van toepassing is op PAN-OS 10.2, PAN-OS 11.0 en PAN-OS 11.1 firewallconfiguraties waarvoor GlobalProtect-gateway- en apparaattelemetrie is ingeschakeld.

Operatie MidnightEclipse omvat het misbruiken van de fout om een ​​cron-taak te creëren die elke minuut wordt uitgevoerd om opdrachten op te halen die op een externe server worden gehost (“172.233.228[.]93/beleid” of “172.233.228[.]93/patch”), die vervolgens worden uitgevoerd met behulp van de bash-shell.

De aanvallers zouden handmatig een toegangscontrolelijst (ACL) voor de command-and-control (C2)-server hebben beheerd om ervoor te zorgen dat deze alleen toegankelijk is vanaf het apparaat dat ermee communiceert.

Cyberbeveiliging

Hoewel de exacte aard van het commando onbekend is, wordt vermoed dat de URL dient als bezorgmiddel voor een op Python gebaseerde achterdeur op de firewall die Volexity – die op 10 april in het wild ontdekte exploitatie van CVE-2024-3400 ontdekte 2024 – wordt bijgehouden als UPSTYLE en wordt gehost op een andere server (“144.172.79[.]92” en “nhdata.s3-us-west-2.amazonaws[.]com”).

Het Python-bestand is ontworpen om een ​​ander Python-script (“system.pth”) te schrijven en te starten, dat vervolgens de ingebedde achterdeurcomponent decodeert en uitvoert die verantwoordelijk is voor het uitvoeren van de opdrachten van de bedreigingsactor in een bestand met de naam “sslvpn_ngx_error.log.” De resultaten van de bewerking worden naar een apart bestand met de naam “bootstrap.min.css” geschreven.

Het meest interessante aspect van de aanvalsketen is dat zowel de bestanden die worden gebruikt om de opdrachten uit te pakken en de resultaten te schrijven legitieme bestanden zijn die aan de firewall zijn gekoppeld –

  • /var/log/pan/sslvpn_ngx_error.log
  • /var/appweb/sslvpndocs/global-protect/portal/css/bootstrap.min.css

Wat betreft de manier waarop de opdrachten naar het foutenlogboek van de webserver worden geschreven, smeedt de bedreigingsactor speciaal vervaardigde netwerkverzoeken naar een niet-bestaande webpagina die een specifiek patroon bevat. De achterdeur ontleedt vervolgens het logbestand en zoekt naar de regel die overeenkomt met dezelfde reguliere expressie (“img[([a-zA-Z0-9+/=]+)]”) om de opdracht erin te decoderen en uit te voeren.

“Het script zal dan een nieuwe thread aanmaken die een functie uitvoert genaamd herstel”, aldus Unit 42. “De herstelfunctie neemt de originele inhoud van het bootstrap.min.css-bestand, evenals de oorspronkelijke toegang en gewijzigde tijden, slaapt gedurende 15 seconden en schrijft de originele inhoud terug naar het bestand en stelt de toegang en gewijzigde tijden in op hun originelen .”

Palo Alto Zero-Day-aanvallen

Het belangrijkste doel lijkt te zijn om te voorkomen dat er sporen achterblijven van de opdrachtuitvoer, waardoor de resultaten binnen 15 seconden moeten worden geëxfiltreerd voordat het bestand wordt overschreven.

Volexity zei in zijn eigen analyse te hebben waargenomen dat de bedreigingsacteur op afstand de firewall exploiteerde om een ​​omgekeerde schil te creëren, extra tools te downloaden, naar interne netwerken te draaien en uiteindelijk gegevens te exfiltreren. De exacte omvang van de campagne is momenteel onduidelijk. De tegenstander heeft van het bedrijf de bijnaam UTA0218 gekregen.

Cyberbeveiliging

“Het vakmanschap en de snelheid van de aanvaller duiden op een zeer capabele dreigingsacteur met een duidelijk speelboek van waartoe hij toegang moet hebben om zijn doelstellingen te bereiken”, aldus het Amerikaanse cyberbeveiligingsbedrijf.

“De oorspronkelijke doelstellingen van UTA0218 waren gericht op het bemachtigen van de DPAPI-back-upsleutels van het domein en het targeten van actieve directory-referenties door het NTDS.DIT-bestand te verkrijgen. Ze richtten zich verder op gebruikerswerkstations om opgeslagen cookies en inloggegevens te stelen, samen met de DPAPI-sleutels van de gebruikers.”

Organisaties wordt aangeraden om intern te zoeken naar tekenen van laterale beweging vanaf hun Palo Alto Networks GlobalProtect-firewallapparaat.

De ontwikkeling heeft de Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) er ook toe aangezet om de fout toe te voegen aan zijn Known Exploited Vulnerabilities (KEV)-catalogus, waardoor federale instanties de patches vóór 19 april moeten toepassen om potentiële bedreigingen te beperken. Palo Alto Networks zal naar verwachting uiterlijk op 14 april oplossingen voor de fout uitbrengen.

“Het richten op edge-apparaten blijft een populaire aanvalsvector voor capabele bedreigingsactoren die de tijd en middelen hebben om te investeren in het onderzoeken van nieuwe kwetsbaarheden”, aldus Volexity.

“Het is zeer waarschijnlijk dat UTA0218 een door de staat gesteunde bedreigingsacteur is, gebaseerd op de middelen die nodig zijn om een ​​kwetsbaarheid van deze aard te ontwikkelen en te exploiteren, het type slachtoffers waarop deze actor zich richt, en de mogelijkheden die worden getoond om de Python-achterdeur te installeren en het slachtoffer verder te benaderen. netwerken.”

Thijs Van der Does