Operation MidnightEclipse是一项新披露的零日漏洞,针对Palo Alto Networks PAN-OS软件进行了积极利用,自2024年3月26日起,即在此前近三周之前就已经被威胁行为者利用。由Palo Alto Networks的Unit 42部门跟踪,这一行动被归因于一名单一的、身份不明的威胁行为者。
该漏洞,CVE-2024-3400,是一个严重的命令注入漏洞,CVSS评分为10.0,允许未经身份验证的攻击者在受影响的防火墙上以根权限执行任意代码。值得注意的是,此漏洞影响启用了GlobalProtect网关和设备遥测的PAN-OS 10.2、PAN-OS 11.0和PAN-OS 11.1配置。
Operation MidnightEclipse涉及利用此漏洞创建一个cron任务,每分钟从指定的外部服务器获取命令,并使用bash shell执行它们。威胁行为者手动管理命令和控制服务器的访问控制列表,以限制与通信设备的访问。
Volexity在2024年4月10日发现了现实中的利用行为,将所使用的基于Python的后门标识为UPSTYLE,并将其托管在一个单独的服务器上。该后门设计用于编写并启动另一个Python脚本(“system.pth”),解码和运行嵌入的后门组件,负责在名为“sslvpn_ngx_error.log”和“bootstrap.min.css”的文件中执行命令并写入结果。
攻击的一个独特方面是利用合法的防火墙文件(/var/log/pan/sslvpn_ngx_error.log和/var/appweb/sslvpndocs/global-protect/portal/css/bootstrap.min.css)分别用于编写命令和结果。后门伪造了特殊的网络请求,触发命令执行,以避免留下痕迹。
为了避免留下痕迹,后门在执行后的15秒内恢复了“bootstrap.min.css”的原始内容。Volexity观察到威胁行为者利用该漏洞创建反向Shell,下载工具,进入内部网络并窃取数据,表明威胁行为者具有高度的能力和复杂的目标。
这一发展促使美国网络安全和基础设施安全局(CISA)将此漏洞列入其已知利用的漏洞目录,并要求联邦机构在4月19日之前应用补丁。Palo Alto Networks预计将在4月14日之前发布修复程序。
Volexity暗示,根据所需资源和受影响的受害者,威胁行为者可能是受支持的国家,给出了威胁行为者的名称UTA0218。攻击的复杂性强调了积极的网络安全措施和及时的修补程序的重要性,以降低此类漏洞带来的风险。
