Sicherheitslücke CVE-2024-3400
Seit dem 26. März 2024 nutzen Bedrohungsakteure eine neu aufgedeckte Zero-Day-Sicherheitslücke in der PAN-OS-Software von Palo Alto Networks aus. Diese von den Forschern als Operation MidnightEclipse bezeichnete Aktivität wird einem einzelnen, nicht identifizierten Bedrohungsakteur zugeschrieben.
Die Sicherheitslücke, bekannt als CVE-2024-3400 und mit einem CVSS-Score von 10,0 bewertet, ist ein Befehlsinjektionsfehler. Sie ermöglicht es nicht authentifizierten Hackern, beliebigen Code mit Root-Rechten auf betroffenen Firewalls auszuführen. Dieses Problem betrifft insbesondere nur die Konfigurationen PAN-OS 10.2, PAN-OS 11.0 und PAN-OS 11.1 mit aktiviertem GlobalProtect-Gateway und Gerätetelemetrie.
Inhaltsverzeichnis
Angreifer nutzen die Sicherheitslücke CVE-2024-3400 aus, um Backdoor-Malware zu verbreiten
Bei der Operation MidnightEclipse wird die Sicherheitslücke ausgenutzt, um einen Cron-Job einzurichten, der jede Minute ausgeführt wird, Befehle von einem externen Server („172.233.228.93/policy“ oder „172.233.228.93/patch“) abruft und diese über die Bash-Shell ausführt.
Berichten zufolge haben die Angreifer eine Zugriffskontrollliste (ACL) für den Command-and-Control-Server (C2) manuell gesteuert und so sichergestellt, dass nur das kommunizierende Gerät darauf zugreifen kann.
Während die genaue Funktion des Befehls unklar bleibt, wird vermutet, dass er als Übermittlungsmechanismus für eine Python-basierte Hintertür dient, die von Forschern, die die Ausnutzung von CVE-2024-3400 verfolgen, UPSTYLE genannt wird. Diese Hintertür wird auf einem separaten Server gehostet ('144.172.79.92' und 'nhdata.s3-us-west-2.amazonaws.com').
Die Python-Datei dient dazu, ein weiteres Python-Skript („system.pth“) zu erstellen und auszuführen, das wiederum die eingebettete Backdoor-Komponente dekodiert und startet, die für die Ausführung der Befehle des Bedrohungsakteurs verantwortlich ist. Die Ergebnisse dieser Vorgänge werden in einer Datei namens „sslvpn_ngx_error.log“ protokolliert, während eine andere Datei namens „bootstrap.min.css“ zusätzliche Aktivitäten aufzeichnet.
Angreifer wollen vertrauliche Informationen von infizierten Geräten abgreifen
Ein bemerkenswerter Aspekt der Angriffskette ist die Verwendung legitimer, mit der Firewall verknüpfter Dateien zum Extrahieren von Befehlen und zum Protokollieren von Ergebnissen:
- /var/log/pan/sslvpn_ngx_error.log
- /var/appweb/sslvpndocs/global-protect/portal/css/bootstrap.min.css
Um Befehle in das Fehlerprotokoll des Webservers zu schreiben, erstellt der Bedrohungsakteur spezifische Netzwerkanforderungen, die auf eine nicht vorhandene Webseite mit einem bestimmten Muster abzielen. Anschließend durchsucht die Hintertür die Protokolldatei nach Zeilen, die einem vordefinierten regulären Ausdruck entsprechen ('img[([a-zA-Z0-9+/=]+)]'), um eingebettete Befehle zu dekodieren und auszuführen.
Darüber hinaus erzeugt das Skript einen neuen Thread, um eine Funktion namens „Restore“ auszuführen. Diese Funktion stellt nach einer Verzögerung von 15 Sekunden den ursprünglichen Inhalt und die Zugriffs-/Änderungszeiten der Datei bootstrap.min.css wieder her und löscht effektiv Spuren von Befehlsausgaben.
Das primäre Ziel scheint darin zu bestehen, Beweise für die Befehlsausführung zu minimieren, indem die Ergebnisse innerhalb von 15 Sekunden vor dem Überschreiben der Datei exfiltriert werden müssen.
Forscher haben beobachtet, wie der Bedrohungsakteur die Firewall aus der Ferne ausnutzte, um eine Reverse Shell zu erstellen, zusätzliche Tools zu erwerben, in interne Netzwerke einzudringen und schließlich Daten zu extrahieren. Der genaue Umfang der Kampagne bleibt unklar. Der Akteur wurde UTA0218 genannt und zeigte fortgeschrittene Fähigkeiten und eine schnelle Ausführung, was auf einen erfahrenen Bedrohungsakteur mit einer vordefinierten Strategie zum Erreichen seiner Ziele hindeutet.
Zunächst konzentrierte sich UTA0218 auf die Beschaffung von DPAPI-Schlüsseln für Domänen-Backups und zielte auf Active Directory-Anmeldeinformationen ab, um an die Datei NTDS.DIT zu gelangen. Außerdem versuchten sie, Benutzerarbeitsplätze zu manipulieren, um gespeicherte Cookies, Anmeldedaten und DPAPI-Schlüssel zu stehlen.
Organisationen wird empfohlen, auf Anzeichen interner Lateralbewegungen zu achten.
CISA warnt vor der Sicherheitslücke CVE-2024-3400
Die Entwicklungen rund um die Sicherheitslücke CVE-2024-3400 veranlassten die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA), die Schwachstelle in ihren Katalog bekannter ausgenutzter Sicherheitslücken (KEV) aufzunehmen und die Bundesbehörden zu verpflichten, Patches zur Eindämmung potenzieller Bedrohungen anzuwenden.
Das Anvisieren von Edge-Geräten bleibt weiterhin ein beliebter Angriffsvektor für erfahrene Bedrohungsakteure, die die notwendige Zeit und Ressourcen benötigen, um neue Schwachstellen zu erkunden.
Angesichts der Ressourcen, die für die Entwicklung und Ausnutzung einer solchen Schwachstelle erforderlich sind, der Art der anvisierten Opfer und der nachgewiesenen Fähigkeiten bei der Installation der Python-Hintertür und der Infiltration der Netzwerke der Opfer ist es sehr wahrscheinlich, dass es sich bei UTA0218 um einen staatlich unterstützten Bedrohungsakteur handelt.
