Palo Alto Networks (PAN) 于 14 月 XNUMX 日发布了修补程序,以解决其 PAN-OS 软件多个版本中最严重的零日漏洞,威胁行为者正在使用该漏洞在受影响的防火墙上部署新颖的 Python 后门。
该缺陷 - 追踪为 CVE-2024-3400 — 当 GlobalProtect 网关和设备遥测功能均启用时,存在于 PAN-OS 10.2、11.0 和 11.1 防火墙中。 12 月 XNUMX 日,研究人员在 PAN 披露了该缺陷 Volexity发现了这个bug 调查客户防火墙上的可疑活动时。
有限攻击
PAN 称针对该缺陷的攻击数量有限,并将攻击活动归因于该公司正在跟踪的单一威胁集群,称为“午夜食蚀行动”。然而,供应商并不排除其他攻击者也利用该漏洞的可能性。
什么时候 PAN 披露了该缺陷 上周,它建议客户可以采取临时措施来减轻威胁,包括禁用设备遥测。 14 月 10.2.9 日,该公司发布了 PAN-OS 1-h11.0.4、PAN-OS 1-h11.1.2、PAN-OS 3-hXNUMX 以及所有更高版本的 PAN-OS 修补程序版本。安全供应商敦促客户应用更新,并承诺提供类似的修补程序 其他维护版本 软件。
有关攻击者在补丁发布之前瞄准该漏洞的报告促使美国网络安全和基础设施局 (CISA) 上周迅速将 CVE-2024-3400 添加到其攻击目录中。 已知被利用的漏洞。所有民事联邦机构都必须在 19 月 XNUMX 日之前解决该缺陷。中钢协有 先前警告过的组织 在多个场合,威胁行为者对 Pulse Secure、Cisco 和 PAN 等供应商的 VPN 和其他远程访问技术非常感兴趣,因为这些设备为企业网络和数据提供了特权访问。
最大严重性命令注入缺陷
在上周的一篇博客文章中,Volexity 将其发现的缺陷描述为 PAN-OS GlobalProtect 中的命令注入漏洞,该漏洞为未经身份验证的远程攻击者提供了在受影响的系统上执行任意代码的方法。该安全供应商表示,它已经观察到一名攻击者(追踪为 UTA0218)利用该缺陷创建反向 shell 并在受感染的系统上下载其他恶意软件。
Volexity 表示:“攻击者专注于从设备导出配置数据,然后利用它作为在受害者组织内横向移动的入口点。”
威胁行为者在受感染系统上部署的附加工具之一是一种新颖的 Python 后门,Volexity 将其命名为 Upstyle。该安全供应商表示,它发现威胁行为者使用 Upstyle 后门执行各种附加命令,包括在目标网络内横向移动的命令以及从中窃取凭证和其他敏感数据的命令。
Volexity 警告称:“攻击者采用的间谍手段和速度表明,威胁行为者能力很强,他们有明确的剧本,知道如何访问以进一步实现其目标。” Volexity 表示,无法确定漏洞利用活动的确切规模,但推测其可能是有限的且有针对性的。该公司表示,已于 0218 月 26 日和 27 月 XNUMX 日在多个组织中发现 UTAXNUMX 试图利用该漏洞的证据。
PAN 表示,其分析显示,威胁行为者利用后门在易受攻击的防火墙上运行一些命令。这些命令包括一个用于复制配置文件并通过 HTTP 请求窃取它们的命令,另一个用于设置防火墙以接收更多命令(这次来自不同的 URL)。潘说:“最后,威胁行为者通过删除与后门相关的所有文件并清除他们的 cronjobs 来进行自我清理。”
完全控制
Trustwave 旗下 SpiderLabs 的高级安全研究经理 Karl Sigler 表示,利用 CVE-2024-3400 将使攻击者能够完全控制 PAN 设备。 “这可能会让攻击者有一个立足点,进一步深入组织,”他说。 “它还可能允许攻击者禁用设备提供的保护,包括禁用访问控制列表和 VPN 连接。”
Sigler 表示,这种情况下的漏洞利用是通过让受影响的设备在错误日志中记录操作系统命令来实现的。他说,然后使用根级权限处理和执行这些命令。 “禁用设备遥测会禁用日志文件,从而使攻击短路,”Sigler 指出。 “这样做的主要风险是网络管理员经常依赖这种遥测来解决设备问题。此外,监控异常网络行为可能是正在进行的攻击的证据。禁用遥测可能会阻碍这些努力。”
帕洛阿尔托本身建议,因任何原因无法立即更新软件的组织应禁用设备遥测,直到能够更新为止。该公司表示,“升级后,应在设备上重新启用设备遥测。”
