CVE-2024-3400 脆弱性
2024 年 3 月 26 日以降、脅威アクターは Palo Alto Networks PAN-OS ソフトウェアで新たに明らかになったゼロデイ脆弱性を悪用しています。研究者によって Operation MidnightEclipse と名付けられたこの活動は、身元不明の単一の脅威アクターによるものとされています。
この脆弱性は CVE-2024-3400 として知られ、CVSS スコアは 10.0 と評価されており、コマンド インジェクションの欠陥です。これにより、認証されていないハッカーが影響を受けるファイアウォールでルート権限を使用して任意のコードを実行できるようになります。特に、この問題は GlobalProtect ゲートウェイとデバイス テレメトリが有効になっている PAN-OS 10.2、PAN-OS 11.0、および PAN-OS 11.1 構成にのみ影響します。
目次
攻撃者はCVE-2024-3400の脆弱性を悪用してバックドアマルウェアを配信する
Operation MidnightEclipse では、脆弱性を利用して、1 分ごとに実行される cron ジョブを確立し、外部サーバー (「172.233.228.93/policy」または「172.233.228.93/patch」) からコマンドを取得し、bash シェル経由で実行します。
攻撃者は、コマンドアンドコントロール (C2) サーバーのアクセス制御リスト (ACL) を手動で制御し、通信デバイスのみがアクセスできるようにしたと報告されています。
このコマンドの正確な機能は不明ですが、CVE-2024-3400 の悪用を追跡している研究者によって UPSTYLE と名付けられた Python ベースのバックドアの配信メカニズムとして機能すると疑われています。このバックドアは別のサーバー (「144.172.79.92」および「nhdata.s3-us-west-2.amazonaws.com」) でホストされています。
Python ファイルは、別の Python スクリプト (「system.pth」) を作成して実行するように設計されており、このスクリプトは、脅威アクターのコマンドを実行する埋め込みバックドア コンポーネントをデコードして起動します。これらの操作の結果は、「sslvpn_ngx_error.log」というファイルに記録され、「bootstrap.min.css」という別のファイルには追加のアクティビティが記録されます。
攻撃者は感染したデバイスから機密情報を収集しようとしている
攻撃チェーンの注目すべき点は、コマンドの抽出と結果のログ記録の両方に、ファイアウォールに関連付けられた正当なファイルを利用することです。
- ログファイル
- /var/appweb/sslvpndocs/global-protect/portal/css/bootstrap.min.css
Web サーバーのエラー ログにコマンドを書き込むために、脅威アクターは、特定のパターンを持つ存在しない Web ページをターゲットとする特定のネットワーク リクエストを作成します。その後、バックドアはログ ファイルをスキャンして、定義済みの正規表現 ('img[([a-zA-Z0-9+/=]+)]') に一致する行を探し、埋め込まれたコマンドをデコードして実行します。
さらに、スクリプトは新しいスレッドを生成し、「restore」という関数を実行します。この関数は、15 秒の遅延後に bootstrap.min.css ファイルの元のコンテンツとアクセス/変更時刻を復元し、コマンド出力の痕跡を効果的に消去します。
主な目的は、コマンド実行の証拠を最小限に抑えることであり、ファイルが上書きされる前に 15 秒以内に結果を持ち出すことが必要であると思われます。
研究者は、脅威アクターがリモートからファイアウォールを悪用してリバース シェルを確立し、追加のツールを取得し、内部ネットワークに侵入して、最終的にデータを抽出しているのを観察しました。キャンペーンの正確な範囲はまだ不明です。アクターは UTA0218 と名付けられ、高度な機能と迅速な実行力を備えており、目標を達成するための事前定義された戦略を持つ熟練した脅威アクターであることを示しています。
当初、UTA0218 はドメイン バックアップ DPAPI キーの取得と、アクティブ ディレクトリの資格情報の取得をターゲットにして NTDS.DIT ファイルを取得することに重点を置いていました。また、ユーザーのワークステーションを侵害して、保存された Cookie、ログイン データ、および DPAPI キーを盗もうとしました。
組織は内部での横方向の移動の兆候を監視することが推奨されます。
CISAがCVE-2024-3400の脆弱性について警告
CVE-2024-3400 脆弱性をめぐる進展を受けて、米国サイバーセキュリティ・インフラストラクチャセキュリティ庁 (CISA) は、この欠陥を既知の悪用された脆弱性 (KEV) カタログに追加し、連邦政府機関に潜在的な脅威を軽減するためのパッチの適用を義務付けました。
エッジ デバイスを標的とすることは、新しい脆弱性を調査するために必要な時間とリソースを必要とする熟練した脅威アクターにとって、依然として好まれる攻撃ベクトルです。
このような脆弱性を開発して悪用するために必要なリソース、標的となる被害者の性質、Python バックドアをインストールして被害者のネットワークに侵入する実証済みの能力を考慮すると、UTA0218 は国家支援の脅威アクターである可能性が非常に高いです。
