Şüpheli devlet destekli bilgisayar korsanları, 26 Mart'tan bu yana CVE-2024-3400 olarak izlenen Palo Alto Networks güvenlik duvarlarında sıfır günlük bir güvenlik açığından yararlanmaktadır.
Palo Alto Networks dün, bilgisayar korsanlarının PAN-OS güvenlik duvarı yazılımında kimliği doğrulanmamış bir uzaktan kod yürütme kırılganlığından aktif olarak kullandıkları ve yamaların 14 Nisan'da mevcut olacağı konusunda uyardı.
Kusur saldırılarda kullanılırken, Palo Alto Networks onu ifşa etmeye ve hafifletmeleri serbest bırakmaya karar verdi, böylece müşterilerin yamalar tamamlanıncaya kadar cihazlarını koruyabilmiştir.
Volexity'nin sıfır gün kusurunu keşfeden daha sonraki bir raporu, bilgisayar korsanlarının Mart ayından bu yana güvenlik açığından nasıl yararlandığı ve hedefin dahili ağına dönmesi ve verilerini çalmak için özel bir arka kapı yüklediğine dair daha fazla ayrıntı sunuyor.
Volexity, bu kötü niyetli etkinliği UTA0218 takma adlı ve devlet destekli tehdit aktörlerinin saldırıları yürütmesinin büyük olasılıkla izliyor.
"Yazma sırasında Volexity, etkinliği diğer tehdit faaliyetleriyle ilişkilendiremedi."
"Volexity, UTA0218'in büyük olasılıkla, bu nitelikte bir kırılganlığı geliştirmek ve kullanmak için gereken kaynaklara dayalı olarak devlet destekli bir tehdit oyuncusu olduğunu, bu aktörün hedeflediği mağdurların türünü ve Python Backdoor ve daha fazla erişim mağdur ağları. "
Volexity, ilk olarak 10 Nisan 2024'te Palo Alto Networks Pan-OS'nin GlobalProtect özelliğinde sıfır gün sömürüsünü tespit ettiğini ve etkinliğin satıcısına haber verdiğini söylüyor.
Ertesi gün Volexity, saldırgan altyapısına ters bir kabuk oluşturmak ve cihaza daha fazla yük indirmek için başka bir müşteriye aynı sıfır günün "özdeş sömürüsünü" gözlemledi.
Şirket tarafından yapılan daha fazla soruşturma, tehdit aktörlerinin en az 26 Mart'tan beri CVE-2024-3400 sıfır gününü kullandığını ancak 10 Nisan'a kadar yük kullanmadığını gösterdi.
Yüklü yüklerden biri, PAN-OS için özellikle uzlaşmış cihazlarda komutlar yürütmek için bir arka kapı görevi görmesi için tasarlanmış 'Upstyle' adlı özel bir implanttır.
Bu arka kapı, '/usr/lib/python3.6/site-packages/system.pth' adresinden bir yol yapılandırma dosyası oluşturan bir Python komut dosyası aracılığıyla yüklenir.
Python belgelerine göre Python, yüklenecek modülleri aramak için kullanılan SYS.Path değişkenine ekstra dizinler eklemek için bir yol yapılandırma dosyası kullanır.
Ancak, .PTH dosyası içe aktarma ve ardından bir boşluk veya sekme ile başlarsa, Python her başladığında aşağıdaki kodlardan herhangi birini yürütür.
System.pth dosyası Upstyle Backdoor ve Volexity, yürütülecek olan Base64 komutlarını çıkarmak için web sunucusunun erişim günlüklerini izleyeceğini söylüyor.
Volexity'nin raporu, "Yürütülecek komutlar, belirli bir deseni içeren var olmayan bir web sayfası isteyerek saldırgan tarafından dövülüyor."
"Arka kapının amacı, deseni arayan web sunucusu hata günlüğünü (/var/log/pan/sslvpn_ngx_error.log) ayrıştırmak ve içinde bulunan komutu yürüterek var olmayan URI'ye eklenen verileri ayrıştırmak ve çözmektir. "
"Komut çıkışı daha sonra güvenlik duvarının meşru bir parçası olan bir CSS dosyasına eklenir (/var/appweb/sslvpndocs/global-protect/portal/css/Bootstrap.min.css)."
Yürütülecek komutlar, geçerli sömürü durumu nedeniyle düzeltilmiş olan normal bir ifade kullanılarak günlüklerden kodlanmış ve kütüklerden çıkarılmıştır.
Aşağıda, Upstyle Backdoor'un nasıl çalıştığını gösteren bir diyagram bulunmaktadır.
Arka kapıya ek olarak, Volexity, ters kabukları başlatmak, pan-OS yapılandırma verilerini eklemek, günlük dosyalarını kaldırmak, GOST adlı Golang tünelleme aracını dağıtmak için ek yükler dağıtan tehdit aktörlerini gözlemledi.
İhlallerden birinde Volexity, "Active Directory Veritabanı (NTDS.DIT), Anahtar Veri (DPAPI) ve Windows olay günlükleri (Microsoft-Windows-TerminalServices- LocalalSessionManager%4operational.evtx). "
Buna ek olarak, tehdit aktörleri Google Chrome ve Microsoft Edge dosyalarını, giriş verileri, çerezler ve yerel durum dahil olmak üzere belirli hedef cihazlarında çaldı.
Bu dosyalar, saldırganların ek cihazları ihlal etmesine izin verebilecek kaydedilmiş kimlik bilgileri ve kimlik doğrulama çerezleri içerir.
Cihazlara başka hiçbir yük dağıtılmadı, ancak bunun planla mı yoksa Volexity'nin etkinliği tespit ettiği için belirsiz.
Volexity, bir Palo Alto Networks güvenlik duvarının tehlikeye atıldığını tespit etmek için iki yöntemin kullanılabileceğini söylüyor.
Hala Palo Alto Networks ile üzerinde çalışıyorlar, bu nedenle şu anda bilgi paylaşmaya hazır değiller.
Diğer yöntem şudur:
Bu yöntemlerin nasıl kullanılacağı hakkında daha ayrıntılı bilgi Volexity'nin raporunda bulunabilir.
Edge Network cihazları genellikle güvenlik çözümlerini desteklemediğinden ve internete maruz kaldıklarından, tehdit aktörlerinin verileri çalması ve bir ağa ilk erişimini elde etmek için ana hedefler haline gelmişlerdir.
Mart 2023'te, Çin bağlantılı bilgisayar korsanlarının VMware ESXI ve VCenter sunucularına verileri çalmak ve pivot için cihazlara özel bir implant yüklemek için Fortinet Zero günlerinden yararlandığı açıklandı.
Aynı ay, şüpheli bir Çin hackleme kampanyası, siber casusluk kampanyaları için özel kötü amaçlı yazılım yüklemek için açılmamış Sonicwall Güvenli Mobil Erişim (SMA) cihazlarını hedefledi.
Nisan 2023'te ABD ve İngiltere, Rus devlet destekli APT28 bilgisayar korsanlarının Cisco IOS yönlendiricilerine 'Jaguar Diş' adlı özel bir kötü amaçlı yazılım kullandığı konusunda uyardı.
Mayıs 2023'te, Çin devlet destekli bir hack grubu, TP-bağlantı yönlendiricilerini Avrupa dışişleri örgütlerine saldırmak için kullanılan özel kötü amaçlı yazılımlarla bulaşıyordu.
Son olarak, özel kötü amaçlı yazılımları dağıtmak ve verileri çalmak için Barracuda ESG cihazları yedi ay boyunca kullanıldı. Bu cihazlardaki uzlaşma o kadar yaygındı ki Barracuda, şirketlerin onları geri yüklemeye çalışmak yerine ihlal edilen cihazların yerini almasını önerdi.
Palo Alto Networks Backdoor Güvenlik Duvarlarına Sökülen Zero Day'i düzeltiyor
Palo Alto Networks, Pan-OS Güvenlik Duvarı Zero Day'i Saldırılarda Kullanılan uyarıyor
92.000 D-Link NAS cihazında kritik RCE hatası artık saldırılarda sömürüldü
92.000'den fazla açık D-Link NAS cihazının bir arka kapı hesabı var
Yeni XZ Backdoor Scanner, herhangi bir Linux ikili olarak implant algılar
Kaynak: Bleeping Computer