Un backdoor Python implementat în atacul Zero-Day Palo Alto
Sursa: unsplash.com
Atacatorii au exploatat o nouă vulnerabilitate de tip zero-day din software-ul PAN-OS al Palo Alto Networks începând din data de 26 martie 2024.
Divizia Unit 42 a companiei de securitate a rețelelor urmărește activitatea sub numele de Operațiunea MidnightEclipse, atribuind-o ca fiind opera unui singur atacator de proveniență necunoscută.
Este demn de remarcat faptul că vulnerabilitatea, CVE-2024-3400, se aplică numai la configurațiile de firewall PAN-OS 10.2, PAN-OS 11.0 și PAN-OS 11.1 care au gateway-ul GlobalProtect și telemetria dispozitivului activate.
Operațiunea MidnightEclipse presupune exploatarea vulnerabilității pentru a crea un cron job care rulează la fiecare minut pentru a prelua comenzi găzduite pe un server extern (172.233.228[.]93/policy sau 172.233.228[.]93/patch), care sunt apoi executate folosind shell-ul bash.
Se presupune că atacatorii au gestionat manual o listă de control al accesului (ACL) pentru serverul de comandă și control (C2) pentru a se asigura că acesta poate fi accesat doar de pe dispozitivul cu care comunică.
Deși nu se cunoaște natura exactă a comenzii, se bănuiește că URL-ul servește drept instrument de livrare al unui backdoor bazat pe Python pe firewall, pe care Volexity – care a descoperit exploatarea, îl urmărește ca UPSTYLE și este găzduit pe un alt server (144.172.79[.]92 și nhdata.s3-us-west-2.amazonaws[.]com).
Fișierul Python este creat pentru a scrie și lansa un alt script Python („system.pth”), care ulterior decodifică și execută backdoor-ul încorporat, responsabil de executarea comenzilor atacatorului într-un fișier numit sslvpn_ngx_error.log. Rezultatele sunt scrise într-un fișier separat numit bootstrap.min.css.
Cel mai interesant aspect al lanțului de atac este că atât fișierele folosite pentru a extrage comenzile cât și pentru a scrie rezultatele sunt fișiere legitime asociate cu firewall-ul:
- /var/log/pan/sslvpn_ngx_error.log
- /var/appweb/sslvpndocs/global-protect/portal/css/bootstrap.min.css
Se recomandă administratorilor să caute semne privind atacurile de tip lateral movement în rețeaua internă de la dispozitivul firewall Palo Alto Networks GlobalProtect și aplicarea ultimelor actualizări disponibile.
Sursă: https://thehackernews.com/2024/04/hackers-deploy-python-backdoor-in-palo.html
