CVE-2024-3400 (+ url + github url#1, url#2) — это критическая уязвимость при внедрении команд в программное обеспечение Palo Alto Networks для PAN-OS, которая, в частности, влияет на функцию GlobalProtect. Эта уязвимость позволяет удаленному злоумышленнику, не прошедшему проверку подлинности, выполнить произвольный код с правами суперпользователя на уязвимом брандмауэре. Уязвимость затрагивает версии PAN-OS 10.2, 11.0 и 11.1 при настройке с помощью GlobalProtect gateway или GlobalProtect portal.
Первоначальное обнаружение и использование:
📌Уязвимость была впервые обнаружена Volexity 26 марта 2024 года.
📌Злоумышленники, идентифицированные как поддерживаемая государством группа UTA0218, воспользовались уязвимостью для получения несанкционированного доступа к устройствам брандмауэра.
Вектор атаки:
📌Уязвимость используется с помощью ошибки фильтрации команд в функции GlobalProtect. Злоумышленники могут манипулировать cookie SESSID для создания произвольных файлов в системе, которые затем могут быть использованы для выполнения команд с правами суперпользователя.
📌Атака не требует аутентификации, что делает ее чрезвычайно опасной ввиду низкой сложности применения.
Последовательность действий:
Шаг 1: Разведка:
📌Злоумышленники сканируют уязвимые устройства PAN-OS, настроенные с помощью GlobalProtect gateway или портала.
📌Они используют простые команды для размещения в системе файлов размером в ноль байт для проверки уязвимости.
Шаг 2: Первоначальное использование:
📌Злоумышленники отправляют на уязвимое устройство специально созданные сетевые запросы, манипулируя cookie-файлом SESSID для создания файла в определенном каталоге.
📌Пример: Cookie: SESSID=/./././var/appweb/sslvpndocs/global-protect/portal/images/poc.txt.
Шаг 3: Выполнение команды:
📌Созданный файл используется для ввода и выполнения произвольных команд с правами суперпользователя.
📌Злоумышленники создают reverseshell и устанавливают дополнительные инструменты, такие как пользовательский Python-бэкдор UPSTYLE, для обеспечения закрепления в системе.
Шаг 4: Последующая эксплуатация:
📌Злоумышленники извлекают конфиденциальные данные, включая текущую конфигурацию брандмауэра и учетные данные пользователя.
📌Они также могут использовать взломанное устройство для распространения по сети.
Обнаруженная вредоносная активность:
📌Всплеск вредоносной активности наблюдался вскоре после публичного раскрытия уязвимости и публикации сценария эксплойта на GitHub.
📌Злоумышленники использовали бэкдор UPSTYLE для косвенного взаимодействия со взломанным устройством, отправляя команды через журналы ошибок и получая выходные данные через общедоступную таблицу стилей.