Multi-License Discount Quote
Données concernant les menaces Vulnerability Vulnérabilité CVE-2024-3400

Vulnérabilité CVE-2024-3400

Par Mezo en Vulnerability
Se traduisent par :
Français

Depuis le 26 mars 2024, les acteurs malveillants profitent d'une vulnérabilité Zero Day récemment révélée dans le logiciel PAN-OS de Palo Alto Networks. Surnommée Operation MidnightEclipse par les chercheurs, cette activité est attribuée à un seul acteur menaçant non identifié.

La vulnérabilité, connue sous le nom de CVE-2024-3400 et évaluée avec un score CVSS de 10,0, est une faille d'injection de commandes. Il permet à des pirates non authentifiés d'exécuter du code arbitraire avec les privilèges root sur les pare-feu concernés. Notamment, ce problème affecte uniquement les configurations PAN-OS 10.2, PAN-OS 11.0 et PAN-OS 11.1 avec la passerelle GlobalProtect et la télémétrie des appareils activées.

Les attaquants exploitent la vulnérabilité CVE-2024-3400 pour diffuser un logiciel malveillant de porte dérobée

L'opération MidnightEclipse implique d'exploiter la vulnérabilité pour établir une tâche cron qui s'exécute toutes les minutes, récupérant les commandes d'un serveur externe (« 172.233.228.93/policy » ou « 172.233.228.93/patch ») et les exécutant via le shell bash.

Les attaquants auraient contrôlé manuellement une liste de contrôle d'accès (ACL) pour le serveur de commande et de contrôle (C2), garantissant que seul l'appareil communicant puisse y accéder.

Bien que la fonction précise de la commande reste floue, elle est soupçonnée de servir de mécanisme de livraison pour une porte dérobée basée sur Python baptisée UPSTYLE par les chercheurs qui suivent l'exploitation de CVE-2024-3400. Cette porte dérobée est hébergée sur un serveur distinct (« 144.172.79.92 » et « nhdata.s3-us-west-2.amazonaws.com »).

Le fichier Python est conçu pour créer et exécuter un autre script Python (« system.pth »), qui à son tour décode et lance le composant de porte dérobée intégré chargé d'exécuter les commandes de l'acteur menaçant. Les résultats de ces opérations sont enregistrés dans un fichier nommé « sslvpn_ngx_error.log », tandis qu'un autre fichier nommé « bootstrap.min.css » enregistre une activité supplémentaire.

Les attaquants cherchent à récolter des informations sensibles sur les appareils infectés

Un aspect notable de la chaîne d'attaque est l'utilisation de fichiers légitimes associés au pare-feu à la fois pour extraire les commandes et enregistrer les résultats :

  • /var/log/pan/sslvpn_ngx_error.log
  • /var/appweb/sslvpndocs/global-protect/portal/css/bootstrap.min.css

Pour écrire des commandes dans le journal des erreurs du serveur Web, l'acteur malveillant crée des requêtes réseau spécifiques ciblant une page Web inexistante avec un modèle particulier. Par la suite, la porte dérobée analyse le fichier journal à la recherche de lignes correspondant à une expression régulière prédéfinie (« img[([a-zA-Z0-9+/=]+)]') pour décoder et exécuter les commandes intégrées.

De plus, le script génère un nouveau thread pour exécuter une fonction nommée « restaurer ». Cette fonction restaure le contenu d'origine et les heures d'accès/modification du fichier bootstrap.min.css après un délai de 15 secondes, effaçant efficacement les traces des sorties de commande.

L'objectif principal semble être de minimiser les preuves d'exécution de commandes, en exigeant l'exfiltration des résultats dans les 15 secondes précédant l'écrasement du fichier.

Les chercheurs ont observé l’auteur de la menace exploiter à distance le pare-feu pour établir un shell inversé, acquérir des outils supplémentaires, pénétrer dans les réseaux internes et finalement extraire des données. La portée exacte de la campagne reste incertaine. L'acteur a été surnommé UTA0218, présentant des capacités avancées et une exécution rapide, révélatrices d'un acteur menaçant compétent doté d'une stratégie prédéfinie pour atteindre ses objectifs.

Initialement, UTA0218 s'est concentré sur l'acquisition de clés DPAPI de sauvegarde de domaine et le ciblage des informations d'identification Active Directory pour obtenir le fichier NTDS.DIT. Ils ont également cherché à compromettre les postes de travail des utilisateurs pour voler les cookies enregistrés, les données de connexion et les clés DPAPI.

Il est conseillé aux organisations de surveiller les signes de mouvement latéral interne.

CISA met en garde contre la vulnérabilité CVE-2024-3400

Les développements autour de la vulnérabilité CVE-2024-3400 ont incité l'Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) à inclure la faille dans son catalogue de vulnérabilités exploitées connues (KEV), obligeant les agences fédérales à appliquer des correctifs pour atténuer les menaces potentielles.

Le ciblage des appareils de pointe reste un vecteur d’attaque privilégié pour les acteurs malveillants expérimentés qui ont besoin du temps et des ressources nécessaires pour explorer de nouvelles vulnérabilités.

Compte tenu des ressources nécessaires pour développer et exploiter une telle vulnérabilité, de la nature des victimes ciblées et des capacités démontrées à installer la porte dérobée Python et à infiltrer les réseaux des victimes, il est fort probable qu'UTA0218 soit un acteur menaçant soutenu par l'État.

Tendance

Vulnérabilité CVE-2024-3094 (porte dérobée XZ)

Vulnerability, Backdoors
Les analystes en sécurité ont récemment découvert une vulnérabilité critique aux répercussions potentiellement dévastatrices. Selon un avis de sécurité urgent, deux itérations de l'outil de compression de données largement utilisé, XZ Utils (anciennement connu sous le nom de LZMA Utils), ont été compromises par un code malveillant. Ce code permet un accès à distance non autorisé aux systèmes...

Le plus regardé

Chargement...