CVE-2024-3400 漏洞取決於指令注入缺陷
自 2024 年 3 月 26 日以來,網路攻擊者一直在利用 Palo Alto Networks PAN-OS 軟體中最近披露的漏洞,這比該漏洞被公開披露近三週。 Palo Alto Networks 的 Unit 42 部門將這項活動識別為「午夜食」行動,是由一個未知的威脅發起者所為。
此安全漏洞稱為 CVE-2024-3400,嚴重程度為 10.0,允許未經授權的攻擊者在受影響的防火牆上以 root 權限執行任意程式碼。值得注意的是,此漏洞影響啟用了 GlobalProtect 閘道和裝置遙測的 PAN-OS 10.2、PAN-OS 11.0 和 PAN-OS 11.1 設定。
MidnightEclipse 操作涉及利用此缺陷來設定重複任務,從外部伺服器取得命令並使用 bash shell 執行它們。攻擊者精心管理命令和控制伺服器的存取控制列表,以限制僅對通訊設備的存取。
Python 後門疑似攻擊的一部分
儘管具體命令尚未公開,但人們懷疑基於 Python 的後門(由 Volexity 追蹤為 UPSTYLE)是透過託管在單獨伺服器上的 URL 進行傳遞的。這個後門在執行時會編寫並執行另一個 Python 腳本,負責執行攻擊者的命令,並將結果記錄在合法的防火牆檔案中。
這種攻擊的一個值得注意的方面是使用真實的防火牆檔案進行命令提取和結果寫入。這些命令透過對不存在的網頁精心設計的網路請求寫入防火牆的錯誤日誌,從而觸發後門解碼並執行的特定模式。
為了隱藏命令輸出的痕跡,會呼叫一個名為「restore」的函數,在 15 秒後將 bootstrap.min.css 檔案恢復到原始狀態,從而擦除命令的證據。 Volexity 觀察到威脅行為者利用防火牆建立反向 shell、下載工具、滲透內部網路並竊取數據,但活動的範圍仍不確定。 Volexity 將該對手識別為 UTA0218。