Vulnerabilidad CVE-2024-3400
Desde el 26 de marzo de 2024, los actores de amenazas han estado aprovechando una vulnerabilidad de día cero recientemente revelada en el software PAN-OS de Palo Alto Networks. Esta actividad, denominada Operación Eclipse de Medianoche por los investigadores, se atribuye a un único actor de amenaza no identificado.
La vulnerabilidad, conocida como CVE-2024-3400 y calificada con una puntuación CVSS de 10,0, es una falla de inyección de comandos. Permite a piratas informáticos no autenticados ejecutar código arbitrario con privilegios de root en los firewalls afectados. En particular, este problema afecta solo a las configuraciones PAN-OS 10.2, PAN-OS 11.0 y PAN-OS 11.1 con la puerta de enlace GlobalProtect y la telemetría del dispositivo habilitadas.
Tabla de contenido
Los atacantes aprovechan la vulnerabilidad CVE-2024-3400 para entregar un malware de puerta trasera
La operación MidnightEclipse implica aprovechar la vulnerabilidad para establecer un trabajo cron que se ejecuta cada minuto, obteniendo comandos de un servidor externo ('172.233.228.93/policy' o '172.233.228.93/patch') y ejecutándolos a través del shell bash.
Según se informa, los atacantes han controlado manualmente una lista de control de acceso (ACL) para el servidor de comando y control (C2), asegurando que solo el dispositivo que se comunica pueda acceder a él.
Si bien la función precisa del comando aún no está clara, se sospecha que sirve como mecanismo de entrega para una puerta trasera basada en Python denominada UPSTYLE por los investigadores que rastrean la explotación de CVE-2024-3400. Esta puerta trasera está alojada en un servidor independiente ('144.172.79.92' y 'nhdata.s3-us-west-2.amazonaws.com').
El archivo Python está diseñado para crear y ejecutar otro script Python ('system.pth'), que a su vez decodifica e inicia el componente de puerta trasera integrado responsable de ejecutar los comandos del actor de la amenaza. Los resultados de estas operaciones se registran en un archivo llamado 'sslvpn_ngx_error.log', mientras que otro archivo llamado 'bootstrap.min.css' registra actividad adicional.
Los atacantes buscan recopilar información confidencial de dispositivos infectados
Un aspecto notable de la cadena de ataque es la utilización de archivos legítimos asociados con el firewall tanto para extraer comandos como para registrar resultados:
- /var/log/pan/sslvpn_ngx_error.log
- /var/appweb/sslvpndocs/global-protect/portal/css/bootstrap.min.css
Para escribir comandos en el registro de errores del servidor web, el actor de amenazas crea solicitudes de red específicas dirigidas a una página web inexistente con un patrón particular. Posteriormente, la puerta trasera escanea el archivo de registro en busca de líneas que coincidan con una expresión regular predefinida ('img[([a-zA-Z0-9+/=]+)]') para decodificar y ejecutar comandos incrustados.
Además, el script genera un nuevo hilo para ejecutar una función denominada "restaurar". Esta función restaura el contenido original y los tiempos de acceso/modificación del archivo bootstrap.min.css después de un retraso de 15 segundos, borrando efectivamente los rastros de las salidas de los comandos.
El objetivo principal parece ser minimizar la evidencia de la ejecución de comandos, lo que requiere la filtración de los resultados dentro de los 15 segundos anteriores a la sobrescritura del archivo.
Los investigadores han observado que el actor de amenazas explota remotamente el firewall para establecer un shell inverso, adquirir herramientas adicionales, penetrar redes internas y, en última instancia, extraer datos. El alcance exacto de la campaña sigue siendo incierto. El actor ha sido denominado UTA0218, y muestra capacidades avanzadas y ejecución rápida, indicativas de un actor de amenazas capacitado con una estrategia predefinida para lograr sus objetivos.
Inicialmente, UTA0218 se centró en adquirir claves DPAPI de respaldo de dominio y apuntar a las credenciales del directorio activo para obtener el archivo NTDS.DIT. También intentaron comprometer las estaciones de trabajo de los usuarios para robar cookies guardadas, datos de inicio de sesión y claves DPAPI.
Se recomienda a las organizaciones que controlen las señales de movimiento lateral interno.
CISA advierte sobre la vulnerabilidad CVE-2024-3400
Los acontecimientos en torno a la vulnerabilidad CVE-2024-3400 llevaron a la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) a incluir la falla en su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), obligando a las agencias federales a aplicar parches para mitigar amenazas potenciales.
Dirigirse a dispositivos de borde sigue siendo un vector de ataque favorito para los actores de amenazas capacitados que necesitan el tiempo y los recursos necesarios para explorar nuevas vulnerabilidades.
Dados los recursos necesarios para desarrollar y explotar dicha vulnerabilidad, la naturaleza de las víctimas objetivo y las capacidades demostradas para instalar la puerta trasera de Python e infiltrarse en las redes de las víctimas, es muy probable que UTA0218 sea un actor de amenazas respaldado por el estado.
