Tuesday, May 21, 2024

Hackerii implementează Python Backdoor în Palo Alto Zero-Day Attack

Acțiune

Actorii amenințărilor au oprimat nouar defecțiune zero-day a software-ului Palo Viola Networks PAN-OS, datând din 26 martisor 2024, cu colea trei săptămâni înainte de a ieși la lumină ieri.

Divizia Ingemanat 42 a companiei de secu a rețelei urmărește activitatea sub numele Operațiunea MidnightEclipseatribuindu-l ca fiind a efectua unui stingher teatralist de amenințare de proveniență necunoscută.

Vulnerabilitatea de secu, urmărită ca CVE-2024-3400 (scor CVSS: 10,0), este o defecțiune a injectării de comandă fiecine a ingadui atacatorilor neautentificați să execute cod intamplator cu privilegii root pe firewall.

Este vrednic de remarcat faptul că prochimen se aplică abia configurațiilor de firewall PAN-OS 10.2, PAN-OS 11.0 și PAN-OS 11.1 fiecine au gateway-ul GlobalProtect și telemetria dispozitivului activate.

Operațiunea MidnightEclipse a admite exploatarea defectului pentru a fauri un job cron fiecine rulează în fitece moment pentru a receptiona comenzile găzduite pe un server strain (“172.233.228(.)93/policy” sau “172.233.228(.)93/patch”) , fiecine sunt atunci executate folosind shell-ul bash.

Se a cuvanta că atacatorii au gestionat fizic o listă de comanda al accesului (ACL) pentru serverul de comandă și comanda (C2), pentru a se sustine că posibil fi accesată abia de pe dispozitivul fiecine comunică cu asta.

Securitate cibernetică

În sezon ce fire exactă a comenzii este necunoscută, se suspectează că expedia URL servește ca mijloc de transport de procurare pentru o ușă din spatar bazată pe Python pe firewall-ul pe fiecine Volexity – fiecine a dezvelit exploatarea în mod caracter a CVE-2024-3400 pe 10 prier, 2024 – urmărește ca UPSTYLE și este găzduit pe un alt server (“144.172.79(.)92” și “nhdata.s3-us-west-2.amazonaws(.)com”).

Fișierul Python este planuit să prevedea și să lanseze un alt script Python (“system.pth”), fiecine posterior decodifică și rulează alcatuire backdoor încorporată fiecine este responsabilă pentru executarea comenzilor actorului amenințării într-un fișier titluit “sslvpn_ngx_error.log”. Rezultatele operațiunii sunt scrise într-un fișier osebi titluit „bootstrap.min.css”.

Cel mai interesant imagine al lanțului de ictus apoplectic este că atât fișierele folosite pentru a a trage comenzile și pentru a prevedea rezultatele sunt fișiere legitime asociate cu firewall-ul –

  • /var/log/pan/sslvpn_ngx_error.log
  • /var/appweb/sslvpndocs/global-protect/arcada/css/bootstrap.min.css

În ceea ce privește valoare absoluta în fiecine comenzile sunt scrise în jurnalul de erori al serverului web, actorul amenințării falsifică solicitări de rețea specialist concepute către o pagină web inexistentă fiecine conține un chip dominant. Ușa din spatar analizează atunci fișierul proces-verbal și caută a rigla fiecine se potrivește cu aceeași zicere regulată (“img(((a-zA-Z0-9+/=)+))”) pentru a a decodifica și a a invarti povatuire în cadrul acestuia.

„Scriptul va fauri atunci un alt fir fiecine rulează o funcție numită restituire”, a spus Unitatea 42. „Funcția de restituire preia conținutul inedit al fișierului bootstrap.min.css, prep și accesul inițial și timpii modificați, dorm sezon de 15 secunde și prevedea conținutul inedit înapoi în fișier și setează otorinolaringologie de intrare și modificate la originalele lor. .”

Atacurile Zero Day de la Palo Alto

Scopul central pare să fie cela de a a indeparta lăsarea de urme ale ieșirilor comenzii, necesitând ca rezultatele să fie exfiltrate în 15 secunde înainte ca fișierul să fie suprascris.

Volexity, în propria analiză, a spus că a observat că actorul amenințării exploatează de la distanță firewall-ul pentru a fauri un shell viceversa, a descărca instrumente suplimentare, a a se roti în rețelele interne și, în cele din urmă, pentru a exfiltra datele. Amploarea exactă a campaniei este în actu-alitate neclară. Adversarul i s-a atribuit de către roata numele UTA0218.

Securitate cibernetică

„Metierul și rapiditate folosite de agresor sugerează un teatralist de amenințare deosebit avizat, cu un fizic distinct inspre ce să acceseze pentru a-și bate obiectivele”, a spus intreprindere americană de secu cibernetică.

„Obiectivele inițiale ale UTA0218 au vizat preluarea cheilor DPAPI de rezervă ale domeniului și țintirea acreditărilor din directorul harnic prin obținerea fișierului NTDS.DIT. Au vizat în urmare stațiile de lucrare ale utilizatorilor pentru a a sustrage cookie-urile salvate și datele de conexiune, împreună cu cheile DPAPI ale utilizatorilor”.

Organizațiilor li se recomandă să caute tatuaj de mișcare laterală în interiorul dispozitivului lor de firewall Palo Viola Networks GlobalProtect.

Dezvoltarea a anumit, de asemanator, Agenția SUA pentru Aparare Cibernetică și Aparare a Infrastructurii (CISA) să adauge defectul la catalogul Known Exploited Vulnerabilities (KEV), solicitând agențiilor federale să aplice patch-urile până pe 19 prier pentru a a modera potențialele amenințări. Se așteaptă ca Palo Viola Networks să lanseze remedieri pentru defecțiune cel târziu pe 14 prier.

„Țintirea dispozitivelor de vârf rămâne un vector alunecator; vector legat poporan de ictus apoplectic pentru actorii capabili de amenințări fiecine au timpul și resursele să investească în cercetarea noilor vulnerabilități”, a spus Volexity.

„Este deosebit potential ca UTA0218 să fie un teatralist de amenințare susținut de conditie, pe fundatie resurselor necesare pentru a a se implini și oprima o vulnerabilitate de această natură, tipul de victime vizate de cest teatralist și capacitățile afișate pentru a stabili ușa din spatar Python și a accesa jertfa în urmare. rețele”.

(eticheteToTranslate)Cyber ​​Attack

Citeşte mai mult

Stiri în tendințe