Volexity 安全研究人员警告说,疑似国家背景的不明黑客组织已成功利用 Palo Alto Networks 防火墙中的0day漏洞已有两周多的时间。
Palo Alto Networks于周五披露了该漏洞,警告称其已意识到有限的野外利用情况,并承诺在未来两天内提供补丁。
该安全缺陷被追踪为CVE-2024-3400(CVSS 评分为 10/10),被描述为命令注入问题,允许未经身份验证的攻击者以 root 权限在受影响的防火墙上执行任意代码。
据供应商称,所有运行 PAN-OS 版本 10.2、11.0 和 11.1 且启用了 GlobalProtect 网关和设备遥测的设备都容易受到攻击。其他 PAN-OS 版本、云防火墙、Panorama 设备和 Prisma Access 不受影响。
“Palo Alto Networks 已意识到有人恶意利用此问题。我们正在以“MidnightEclipse 行动”的名义跟踪此漏洞的初始利用,因为我们非常有信心地评估,迄今为止我们分析的已知利用仅限于单个攻击者。”该公司在博客文章中表示。
Volexity 将CVE-2024-3400 漏洞归因于一个有国家背景的黑客,追踪编号为“UTA0218”,攻击者似乎能力很强,“有一个明确的剧本,说明如何进一步实现其目标”。
“Volexity 评估认为,根据开发和利用此类性质的漏洞所需的资源、攻击者针对的受害者类型以及安装 Python 后门和所显示的功能,UTA0218 很可能是国家支持的黑客组织,意图进一步访问受害者网络。”该网络安全公司指出。
该公司目前无法将该活动与先前已知的黑客组织联系起来。
目前尚不清楚这种利用的范围有多广泛,但 Volexity 表示,“有证据表明,潜在的侦察活动涉及更广泛的利用,旨在识别易受攻击的系统”。
该网络安全公司表示,自 3 月 26 日以来,UTA0218 已成功利用0day漏洞攻击多个组织。在两个实例中,攻击者还注入了一个名为 Upstyle 的基于 Python 的后门,并用它来执行其他命令。
“成功利用设备后,UTA0218 从他们控制的远程服务器下载了额外的工具,以便于访问受害者的内部网络。他们迅速在受害者的网络中横向移动,提取敏感凭证和其他文件,以便在入侵期间和之后可能进行访问。”Volexity 解释道。
攻击链
研究人员发现攻击在防火墙上创建了一个 cron 作业,以持续从远程服务器获取文件并执行其内容。我们看到攻击者手动管理命令与控制 (C&C) 服务器的访问控制列表,以确保只能从与其通信的设备进行访问。
还观察到 UTA0218 部署了用 Python 编写的反向 shell 和开源 SSH 反向 shell,下载 GOST(GO Simple Tunnel)等反向代理工具,并从受感染的防火墙中窃取配置数据。
在一次攻击中,攻击者使用帕洛阿尔托网络防火墙的高特权服务帐户通过 SMB 和 WinRM 横向移动。随后,UTA0218 窃取了 Active Directory 数据库、关键数据、Windows 事件日志、登录信息、cookie 和浏览器数据,并能够解密存储的凭据。
“没有观察到 UTA0218 在受害者网络内的系统上部署恶意软件或其他持久性方法。被盗的数据确实使攻击者能够有效地破坏所有域帐户的凭据。此外,攻击者获得了访问权限,并可能使用从浏览器数据中获取的有效凭据或 cookie 来访问特定的用户工作站。”Volexity 解释道。
CVE-2024-3400 的补丁预计将于 4 月 14 日发布。与此同时,建议组织在其防火墙上禁用设备遥测,并应用 Palo Alto Networks 在其公告中详细介绍的其他缓解建议。
建议认为自己因该0day漏洞而受到损害的组织收集日志、创建技术支持文件并保留取证工件。他们还应该寻找潜在的横向移动,并应考虑防火墙上的所有敏感数据受到损害。
Palo Alto Networks 和 Volexity 警告称,UTA0218 和其他攻击者对 CVE-2024-3400 的利用可能会在未来几天内激增,这主要是由于补丁尚未推出。
转自会杀毒的单反狗,原文链接:https://mp.weixin.qq.com/s/nxtN-VsXRmSLKEZ_avFeLA
暂无评论内容