Pesquisadores disponibilizam exploit para bug do Palo Alto PAN-OS

Os pesquisadores lançaram um código de exploração para a vulnerabilidade explorada ativamente CVE-2024-3400 no PAN-OS da Palo Alto Networks.

Pesquisadores do watchTowr Labs lançaram uma análise técnica da vulnerabilidade CVE-2024-3400 no PAN-OS da Palo Alto Networks e uma exploração de prova de conceito que pode ser usada para executar comandos shell em firewalls vulneráveis.

CVE-2024-3400 (pontuação CVSS de 10,0) é uma vulnerabilidade crítica de injeção de comando no software PAN-OS da Palo Alto Networks. Um invasor não autenticado pode explorar a falha para executar código arbitrário com privilégios de root nos firewalls afetados. Essa falha afeta os firewalls PAN-OS 10.2, PAN-OS 11.0 e PAN-OS 11.1 configurados com gateway GlobalProtect ou portal GlobalProtect (ou ambos) e telemetria de dispositivo habilitada.

A Palo Alto Networks e a Unidade 42 estão investigando a atividade relacionada à falha CVE-2024-3400 PAN-OS e descobriram que os agentes da ameaça a têm explorado desde 26 de março de 2024.

Os pesquisadores estão rastreando esse conjunto de atividades, conduzido por um ator de ameaça desconhecido, sob o nome de Operação MidnightEclipse.

“A Palo Alto Networks está ciente da exploração maliciosa deste problema. Estamos rastreando a exploração inicial desta vulnerabilidade sob o nome de Operação MidnightEclipse, pois avaliamos com alta confiança que a exploração conhecida que analisamos até agora está limitada a um único ator de ameaça.”  lê o relatório . “Também avaliamos que outros atores de ameaças podem tentar a exploração no futuro.”

Ao explorar a falha, o agente da ameaça foi observado criando um cronjob que seria executado a cada minuto para acessar comandos hospedados em um servidor externo que seria executado via bash.

Os pesquisadores não conseguiram acessar os comandos executados pelos invasores, no entanto, eles acreditam que os agentes da ameaça tentaram implantar um segundo backdoor baseado em Python nos dispositivos vulneráveis.

Pesquisadores da empresa de segurança cibernética Volexity referiram-se a este segundo backdor Python como UPSTYLE.

O agente da ameaça, rastreado pela Volexity como UTA0218, explorou remotamente o dispositivo de firewall para estabelecer um shell reverso e instalar ferramentas adicionais. Seu objetivo principal era extrair dados de configuração dos dispositivos e usá-los como base para expansão lateral nas organizações-alvo.

Agora, o watchTowr Labs lançou outra ferramenta geradora de artefatos de detecção na forma de uma solicitação HTTP

“Como podemos ver, injetamos nossa carga útil de injeção de comando no valor do cookie SESSID – que, quando um dispositivo Palo Alto GlobalProtect tem telemetria habilitada – é então concatenado em uma string e finalmente executado como um comando shell.” lê a análise publicada pelo watchTowr Labs.

“Algo-algo-níveis-de-sofisticação-alcançáveis-apenas-por-um-estado-nação-algo-algo.”

Justin Elze, CTO da TrustedSec , também publicou a exploração usada em ataques na natureza.

https://platform.twitter.com/embed/Tweet.html?creatorScreenName=securityaffairs&dnt=true&embedId=twitter-widget-0&features=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%3D%3D&frame=false&hideCard=false&hideThread=false&id=1780239802496864474&lang=en&origin=https%3A%2F%2Fsecurityaffairs.com%2F161936%2Fhacking%2Fexploit-code-cve-2024-3400-palo-alto-pan-os.html&sessionId=bb18c909c9442462bb14e74fe965422a178b9783&siteScreenName=securityaffairs&theme=light&widgetsVersion=2615f7e52b7e0%3A1702314776716&width=500px

Esta semana, a CISA dos EUA  adicionou a vulnerabilidade CVE-2024-3400 ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), ordenando que as agências federais dos EUA a abordassem até 19 de abril.

Por: Pierluigi Paganini