Bugünün erken saatlerinde Palo Alto Networks, şirketin güvenlik duvarlarındaki kritik bir komut yerleştirme güvenlik açığının (CVE-2024-3400) sınırlı saldırılarda kullanıldığını açıkladı ve güvenlik açığı bulunan cihazlara sahip müşterilerin, risk azaltıcı önlemleri ve geçici çözümleri hızlı bir şekilde uygulamalarına teşvik etti.
Palo Alto Networks’ün Birim 42 ve Volexity, saldırılar, tehdit avlama sorguları, YARA kuralları ve uzlaşma göstergeleri hakkında daha fazla bilgi içeren tehdit özetlerini yayınladı.
PAN’ın içgörüleri
“Şu ana kadar analiz ettiğimiz bilinen istismarın tek bir tehdit aktörüyle sınırlı olduğunu yüksek bir güvenle değerlendirdiğimiz için, bu güvenlik açığının ilk istismarını MidnightEclipse Operasyonu adı altında takip ediyoruz. Ayrıca, gelecekte başka tehdit aktörlerinin de istismar girişiminde bulunabileceğini değerlendiriyoruz” dedi. Birim 42 araştırmacıları.
Ayrıca saldırganların hedeflenen cihazlara yüklediği arka kapının nasıl çalıştığını, varlığını sürdürdüğünü ve varlığını gizlediğini açıkladılar ve Cortex XDR çözümünün müşterileri için tehdit avı sorgularını paylaştılar.
PAN ayrıca tavsiyesini şu şekilde güncelledi: “Bulut NGFW güvenlik duvarları etkilenmezken, belirli PAN-OS sürümleri ve buluttaki müşteriler tarafından dağıtılan ve yönetilen güvenlik duvarı VM’lerinin farklı özellik yapılandırmaları etkilenir.”
Volexity saldırıların boyutunu açıklıyor
Volexity tehdit araştırmacıları ayrıca, saldırganın özel hazırlanmış ağ istekleri aracılığıyla cihazda ek komutlar yürütmesine olanak tanıyan Python arka kapısını (UPSTYLE adı verilen) ayrıntılı olarak açıkladı. Saldırganlar ayrıca ters bir kabuk da oluşturdu.
Saldırıları ilk olarak 10 Nisan’da ağ güvenliği izleme (NSM) müşterilerinden birinde tespit ettiler, ardından ertesi gün başka bir müşteriye ikinci saldırıyı tespit ettiler.
“Volexity araştırmasını genişlettikçe, diğer birçok müşteri ve kuruluşta 26 Mart 2024’e kadar uzanan başarılı bir istismar keşfetti. Bu girişimler, istismar edilebilirliği doğrulamak için güvenlik duvarı cihazlarına sıfır baytlık dosyalar yerleştirerek güvenlik açığını test eden tehdit aktörü gibi görünüyor.” onlar da buldular.
“7 Nisan 2024’te Volexity, saldırganın müşterinin güvenlik duvarı cihazına arka kapı açmaya çalıştığını ve başarısız olduğunu gözlemledi. Üç gün sonra, 10 Nisan 2024’te, [the threat actor] Kötü amaçlı yükleri başarılı bir şekilde dağıtmak için güvenlik duvarı cihazlarından yararlanıldığı gözlemlendi. Volexity’nin 11 Nisan 2024’te gözlemlediği ikinci uzlaşma da neredeyse aynı stratejiyi izledi.”
Başarılı bir istismarın ardından saldırganlar, kurban kuruluşların ağları arasında yanal hareketlerini ve kimlik bilgileri ile dosyaların çalınmasını kolaylaştırmak için ek araçlar indirecektir.
“Bir vakada, Palo Alto güvenlik duvarı tarafından kullanılmak üzere yapılandırılmış bir hizmet hesabı ve etki alanı yöneticileri grubunun bir üyesi, saldırganlar tarafından SMB ve WinRM aracılığıyla etkilenen ağlar arasında dahili olarak gezinmek için kullanıldı” diye eklediler.
“[The threat actor]’nin ilk hedefleri, etki alanı yedekleme DPAPI anahtarlarını ele geçirmek ve NTDS.DIT dosyasını alarak aktif dizin kimlik bilgilerini hedeflemekti. Ayrıca, kayıtlı çerezleri ve oturum açma verilerini, ayrıca kullanıcıların DPAPI anahtarlarını çalmak için kullanıcı iş istasyonlarını da hedef aldılar.”
PAN müşterileri, cihazlarından kaynaklanan ağ trafiğini analiz ederek ve belirli ağ isteklerini arayarak (blog yazısında ayrıntılı olarak açıklanmıştır) cihazlarının güvenliğinin ihlal edilip edilmediğini kontrol edebilir. Tespit için ikinci bir yöntem ise hâlâ gizli.
“Palo Alto Network GlobalProtect güvenlik duvarı cihazınızın güvenliğinin ihlal edildiğini fark ederseniz hemen harekete geçmeniz önemlidir. Cihazı silmediğinizden veya yeniden oluşturmadığınızdan emin olun. Günlükleri toplamak, bir teknik destek dosyası oluşturmak ve cihazdaki adli bilişim eserlerini (bellek ve disk) korumak çok önemlidir” diye eklediler.
(Pazar günü yayımlandığında düzeltmenin uygulanmasının adli bulguları sileceği söylendi – gerçi PAN bunu bizim için onaylamadı – bu yüzden her ihtimale karşı bir teknik destek dosyası oluşturun.)
“İç sistemleri analiz etmeye ve potansiyel yanal hareketleri izlemeye yönelik dönüş mümkün olan en kısa sürede yapılmalıdır. Ayrıca GlobalProtect güvenlik duvarı cihazında depolanmış olabilecek tüm kimlik bilgileri, sırlar veya diğer hassas veriler tehlikeye atılmış olarak değerlendirilmelidir. Tehdit analistleri, bunun parola sıfırlamalarını, sırların değiştirilmesini ve ek araştırmaları gerektirebileceğini belirtti.
Volexity, saldırılara karışan tehdit aktörünün büyük olasılıkla devlet destekli olduğunu, çünkü bu tür bir güvenlik açığının keşfedilmesi ve bu güvenlik açığından yararlanılması için önemli miktarda beceri ve kaynağa ihtiyaç duyulduğunu söylüyor. Hedef alınan mağdurların türü de bu yöne işaret ediyor.
Tehdit aktörünün önümüzdeki günlerde hedeflenen diğer kurbanların güvenlik duvarlarını tehlikeye atma çabalarını artırmasını, hafifletici önlemlerin ve yamaların devreye girmesinin önüne geçmesini bekliyorlar, bu nedenle hızlı hareket etmek çok önemli.