Palo Alto Networks (PAN) il 14 aprile ha rilasciato hotfix per risolvere un bug zero-day di massima gravità in più versioni del suo software PAN-OS che un attore di minacce sta utilizzando per distribuire una nuova backdoor Python sui firewall interessati.
Il difetto: tracciato come CVE-2024-3400 — è presente nei firewall PAN-OS 10.2, 11.0 e 11.1 quando il gateway GlobalProtect e le funzionalità di telemetria del dispositivo sono entrambi abilitati. La PAN ha rivelato il difetto il 12 aprile dopo che i ricercatori di Volexity ha trovato il bug quando si indaga su attività sospette sul firewall di un cliente.
Attacco limitato
PAN ha descritto gli attacchi mirati alla falla come di volume limitato e ha attribuito l'attività di attacco a un singolo cluster di minacce che la società sta monitorando come "Operazione Midnight Eclipse". Tuttavia, il fornitore non ha escluso la possibilità che anche altri aggressori possano sfruttare la falla.
Quando La PAN ha rivelato il difetto la settimana scorsa ha raccomandato misure temporanee che i clienti potrebbero adottare per mitigare la minaccia, inclusa la disabilitazione della telemetria del dispositivo. Il 14 aprile, la società ha reso disponibili le versioni hotfix di PAN-OS 10.2.9-h1, PAN-OS 11.0.4-h1, PAN-OS 11.1.2-h3 e tutte le versioni PAN-OS successive. Il fornitore di sicurezza ha esortato i clienti ad applicare gli aggiornamenti e ha promesso hotfix simili per altre versioni di manutenzione del software.
Le segnalazioni di aggressori che avevano preso di mira la falla prima che fosse disponibile una patch hanno spinto la settimana scorsa la US Cybersecurity and Infrastructure Agency (CISA) ad aggiungere rapidamente CVE-2024-3400 al suo catalogo di vulnerabilità note sfruttate. Tutte le agenzie federali civili hanno tempo fino al 19 aprile per risolvere il problema. CISA ha organizzazioni precedentemente avvertite in più occasioni riguardo all’elevato interesse degli autori delle minacce nei confronti delle VPN e di altre tecnologie di accesso remoto di fornitori come Pulse Secure, Cisco e PAN a causa dell’accesso privilegiato che questi dispositivi forniscono alle reti e ai dati aziendali.
Difetto di iniezione del comando di gravità massima
In un post sul blog della scorsa settimana, Volexity ha descritto il difetto scoperto come una vulnerabilità di command injection in PAN-OS GlobalProtect che ha fornito agli aggressori remoti non autenticati un modo per eseguire codice arbitrario sui sistemi interessati. Il fornitore di sicurezza ha affermato di aver osservato un utente malintenzionato, che sta monitorando come UTA0218, sfruttare la falla per creare una shell inversa e scaricare ulteriore malware sui sistemi compromessi.
"L'aggressore si è concentrato sull'esportazione dei dati di configurazione dai dispositivi, per poi sfruttarli come punto di ingresso per spostarsi lateralmente all'interno delle organizzazioni vittime", ha affermato Volexity.
Uno degli strumenti aggiuntivi che l'autore della minaccia ha implementato sui sistemi compromessi era una nuova backdoor Python che Volexity ha chiamato Upstyle. Il fornitore di sicurezza ha affermato di aver scoperto che l’autore della minaccia utilizzava la backdoor Upstyle per eseguire una serie di comandi aggiuntivi, inclusi quelli per lo spostamento laterale all’interno di una rete bersaglio e per rubare da essa credenziali e altri dati sensibili.
“L’astuzia e la velocità impiegate dall’aggressore suggeriscono che si tratta di un attore altamente capace con un chiaro programma su cosa accedere per raggiungere i propri obiettivi”, ha avvertito Volexity. Volexity ha affermato di non essere in grado di determinare l'esatta portata dell'attività di exploit, ma ha ipotizzato che probabilmente fosse limitata e mirata. La società ha affermato di aver trovato prove del tentativo di UTA0218 di sfruttare la vulnerabilità in più organizzazioni il 26 e 27 marzo.
PAN ha affermato che la sua analisi ha mostrato che l'autore della minaccia utilizza la backdoor per eseguire una manciata di comandi su firewall vulnerabili. I comandi ne includevano uno per copiare i file di configurazione ed estrarli tramite richieste HTTP e un altro che configurava il firewall per ricevere ancora più comandi, questa volta da un URL diverso. "Infine, gli autori della minaccia hanno fatto pulizia rimuovendo tutti i file associati alle backdoor e cancellando i propri cronjob", ha affermato PAN.
Controllo completo
Karl Sigler, responsabile senior della ricerca sulla sicurezza presso gli SpiderLabs di Trustwave, afferma che lo sfruttamento di CVE-2024-3400 darebbe a un utente malintenzionato il controllo completo sul dispositivo PAN. "Ciò potrebbe consentire all'aggressore un punto d'appoggio per ruotare ulteriormente all'interno dell'organizzazione", afferma. "Potrebbe anche consentire all'aggressore di disabilitare le protezioni fornite dal dispositivo, inclusa la disabilitazione degli elenchi di controllo degli accessi e delle connessioni VPN."
Sigler afferma che l'exploit della vulnerabilità in questo caso funziona facendo sì che un dispositivo interessato registri i comandi del sistema operativo in un registro degli errori. Questi comandi vengono quindi elaborati ed eseguiti con autorizzazioni a livello di root, afferma. "La disattivazione della telemetria del dispositivo disabilita il file di registro, cortocircuitando l'attacco", osserva Sigler. “Il rischio principale nel farlo è che gli amministratori di rete spesso facciano affidamento su questa telemetria per risolvere i problemi con il dispositivo. Inoltre, il monitoraggio del comportamento anomalo della rete potrebbe essere la prova di un attacco in corso. La disabilitazione della telemetria potrebbe ostacolare tali sforzi”.
La stessa Palo Alto ha raccomandato alle organizzazioni che non sono in grado di aggiornare immediatamente il proprio software per qualsiasi motivo di disabilitare la telemetria del dispositivo finché non saranno in grado di aggiornare. Secondo l'azienda, "Una volta aggiornato, la telemetria del dispositivo dovrebbe essere riattivata sul dispositivo."
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
- PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
- PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
- Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
- Fonte: https://www.darkreading.com/cyberattacks-data-breaches/palo-alto-network-issues-hot-fixes-for-zero-day-bug-in-its-firewall-os
