Palo Alto Networks (PAN), 14 Nisan’da, bir tehdit aktörünün etkilenen güvenlik duvarlarına yeni bir Python arka kapısı dağıtmak için kullandığı PAN-OS yazılımının birden fazla sürümündeki maksimum önem derecesine sahip sıfır gün hatasını gidermek için düzeltmeler yayınladı.
Kusur — şu şekilde izlendi: CVE-2024-3400 — GlobalProtect Gateway ve cihaz telemetri özelliklerinin her ikisi de etkinleştirildiğinde PAN-OS 10.2, 11.0 ve 11.1 güvenlik duvarlarında mevcuttur. PAN, kusuru 12 Nisan’da araştırmacıların ardından açıkladı. Volexity hatayı buldu Bir müşterinin güvenlik duvarındaki şüpheli etkinliği araştırırken.
Sınırlı Saldırı
PAN, kusuru hedef alan saldırıların hacminin sınırlı olduğunu açıkladı ve saldırı faaliyetini şirketin “Gece Yarısı Tutulması Operasyonu” olarak takip ettiği tek bir tehdit kümesine bağladı. Ancak satıcı, diğer saldırganların da kusurdan yararlanma olasılığını göz ardı etmedi.
Ne zaman PAN kusuru açıkladı Geçen hafta, müşterilerin tehdidi azaltmak için alabileceği, cihaz telemetrisinin devre dışı bırakılması da dahil olmak üzere geçici önlemler önerildi. 14 Nisan’da şirket, PAN-OS 10.2.9-h1, PAN-OS 11.0.4-h1, PAN-OS 11.1.2-h3 ve sonraki tüm PAN-OS sürümlerinin düzeltme sürümlerini kullanıma sundu. Güvenlik satıcısı, müşterileri güncellemeleri uygulamaya çağırdı ve benzer düzeltmelerin sözünü verdi. diğer bakım sürümleri yazılımın.
Saldırganların yama yayınlanmadan önce kusuru hedef aldığına dair raporlar, ABD Siber Güvenlik ve Altyapı Ajansı’nın (CISA) geçen hafta CVE-2024-3400’ü hızla kataloğuna eklemesine yol açtı. bilinen istismar edilen güvenlik açıkları. Tüm sivil federal kurumların kusuru gidermek için 19 Nisan’a kadar süreleri var. CISA’nın sahip olduğu Daha önce uyarılmış kuruluşlar Pulse Secure, Cisco ve PAN gibi satıcıların VPN’lere ve diğer uzaktan erişim teknolojilerine, bu cihazların kurumsal ağlara ve verilere sağladığı ayrıcalıklı erişim nedeniyle tehdit aktörlerinin yüksek ilgisi birçok kez dile getirildi.
Maksimum Önem Derecesinde Komut Ekleme Hatası
Geçtiğimiz hafta yayınlanan bir blog yazısında Volexity, keşfettiği kusuru, kimliği doğrulanmamış uzak saldırganlara etkilenen sistemlerde rastgele kod yürütme yolu sağlayan PAN-OS GlobalProtect’te bir komut ekleme güvenlik açığı olarak tanımladı. Güvenlik sağlayıcısı, UTA0218 olarak takip ettiği bir saldırganın bu kusurdan yararlanarak ters kabuk oluşturduğunu ve ele geçirilen sistemlere ek kötü amaçlı yazılım indirdiğini gözlemlediğini söyledi.
Volexity, “Saldırgan, cihazlardan yapılandırma verilerini dışarı aktarmaya ve ardından bunu kurban kuruluşlar içinde yatay olarak hareket etmek için bir giriş noktası olarak kullanmaya odaklandı” dedi.
Tehdit aktörünün ele geçirilen sistemlere uyguladığı ek araçlardan biri de Volexity’nin Upstyle adını verdiği yeni bir Python arka kapısıydı. Güvenlik sağlayıcısı, tehdit aktörünün, hedef ağ içinde yanal hareket için olanlar da dahil olmak üzere çeşitli ek komutları yürütmek ve ağdaki kimlik bilgilerini ve diğer hassas verileri çalmak için Upstyle arka kapısını kullandığını bulduğunu söyledi.
Volexity, “Saldırganın kullandığı zanaat ve hız, hedeflerine ulaşmak için neye erişeceğine dair net bir taktik kitabına sahip, son derece yetenekli bir tehdit aktörünü akla getiriyor” diye uyardı. Volexity, istismar faaliyetinin kesin ölçeğini belirleyemediğini ancak bunun muhtemelen sınırlı ve hedefli olduğunu tahmin ettiğini söyledi. Şirket, UTA0218’in 26 Mart ve 27 Mart tarihlerinde birden fazla kuruluşta güvenlik açığından yararlanmaya çalıştığına dair kanıt bulduğunu söyledi.
PAN, analizinin tehdit aktörünün arka kapıyı kullanarak savunmasız güvenlik duvarlarında bir dizi komutu çalıştırdığını gösterdiğini söyledi. Komutlar arasında, yapılandırma dosyalarını kopyalamak ve bunları HTTP istekleri yoluyla dışarı çıkarmak için kullanılan bir komut ve güvenlik duvarını bu kez farklı bir URL’den daha fazla komut alacak şekilde ayarlayan bir komut vardı. PAN, “Son olarak tehdit aktörü, arka kapılarla ilişkili tüm dosyaları kaldırarak ve cronjobs’larını temizleyerek kendi etrafını temizledi” dedi.
Tam denetim
Trustwave SpiderLabs’ın kıdemli güvenlik araştırma yöneticisi Karl Sigler, CVE-2024-3400’den yararlanmanın saldırgana PAN cihazı üzerinde tam kontrol sağlayacağını söylüyor. “Bu, saldırganın organizasyon içinde daha da ilerlemesini sağlayacak bir dayanak noktası sağlayabilir” diyor. “Ayrıca saldırganın, erişim kontrol listelerinin ve VPN bağlantılarının devre dışı bırakılması da dahil olmak üzere cihaz tarafından sağlanan korumaları devre dışı bırakmasına da olanak tanıyabilir.”
Sigler, bu durumda güvenlik açığından yararlanmanın, etkilenen cihazın işletim sistemi komutlarını bir hata günlüğüne kaydetmesini sağlayarak çalıştığını söylüyor. Bu komutlar daha sonra kök düzeyindeki izinlerle işlenir ve yürütülür, diyor. Sigler, “Cihaz telemetrisinin devre dışı bırakılması, günlük dosyasını devre dışı bırakarak saldırıda kısa devre oluşmasına neden olur” diye belirtiyor. “Bunu yapmanın ana riski, ağ yöneticilerinin cihazdaki sorunları gidermek için sıklıkla bu telemetriye güvenmeleridir. Ayrıca, anormal ağ davranışlarının izlenmesi devam eden bir saldırının kanıtı olabilir. Telemetriyi devre dışı bırakmak bu çabaları engelleyebilir.”
Palo Alto, herhangi bir nedenle yazılımlarını hemen güncelleyemeyen kuruluşların, güncelleme yapana kadar cihaz telemetrisini devre dışı bırakmalarını tavsiye etti. Şirkete göre, “Yükseltildikten sonra cihaz telemetrisinin cihazda yeniden etkinleştirilmesi gerekir.”