黑客利用Palo Alto Networks 防火墙零日漏洞发起攻击

扫码领资料

获网安教程

据bleepingcomputer消息，自 3 月 26 日以来，疑似受到国家支持的黑客一直在利用 Palo Alto Networks 防火墙中的零日漏洞（编号为 CVE-2024-3400），入侵企业组织内部网络以窃取数据和凭证。

Palo Alto Networks 披露，黑客正在积极利用其 PAN-OS 防火墙软件中未经身份验证的远程代码执行漏洞。对此，Palo Alto Networks 披露了该漏洞并发布缓解措施，以便客户可以保护他们的设备，直到补丁完成。

Volexity 公司随后发布的一份报告披露该零日漏洞，提供了有关黑客自 3 月份以来如何利用该漏洞并安装自定义后门以转向目标内部网络并窃取数据的细节。Volexity 正在追踪这一名为 UTA0218 的恶意活动，并认为很可能是国家支持的攻击者正在实施这些攻击。

Volexity 表示， 2024 年 4 月 10 日首次在 Palo Alto Networks PAN-OS 的 GlobalProtect 功能中检测到零日漏洞利用，并向供应商通报了该活动。Volexity 观察到另一位客户对同一零日漏洞进行了“相同的利用”，以创建返回攻击者C2的反向 shell，并将更多有效负载下载到设备上。

该公司的进一步调查表明，攻击者至少从 3 月 26 日起就一直在利用 CVE-2024-3400 零日漏洞，但直到 4 月 10 日才部署有效负载。

安装的有效负载之一是名为“Upstyle”的自定义植入程序，专门为 PAN-OS 设计，充当在受感染设备上执行命令的后门。该后门是通过 Python 脚本安装的，该脚本在“/usr/lib/python3.6/site-packages/system.pth”处创建路径配置文件。

用于安装后门的初始Python负载
来源：BleepingComputer

根据 Python文档，Python使用路径配置文件向sys.path变量添加额外的目录，该变量用于搜索要加载的模块。但是，如果 .pth 文件以 Import 开头，后跟空格或制表符，则每次 Python 启动时都会执行以下任何代码。

system.pth文件是 Upstyle 后门，它将监视 Web 服务器的访问日志以提取要执行的 Base64 命令。

攻击者通过请求包含特定模式的不存在的网页来伪造要执行的命令。后门的目的是解析 Web 服务器错误日志(/var/log/pan/sslvpn_ngx_error.log ) 寻找模式，并解析和解码添加到不存在的 URI 的数据，执行其中包含的命令。然后，命令输出将附加到 CSS 文件中，该文件是防火墙的合法部分 ( /var/appweb/sslvpndocs/global-protect/portal/css/bootstrap.min.css )。

提取要执行的命令并将输出写入日志
来源：BleepingComputer.com

下图说明了 Upstyle 后门的运作方式。

除此之外，Volexity 还观察到攻击者部署了额外的有效负载来启动反向 shell、窃取 PAN-OS 配置数据、删除日志文件、部署名为 GOST的 Golang 隧道工具。 

在其中的一次安全事件中，Volexity 观察到攻击者转向内部网络窃取敏感的 Windows 文件，例如“Active Directory 数据库 (ntds.dit)、关键数据 (DPAPI) 和 Windows 事件日志 (Microsoft-Windows-TerminalServices- LocalSessionManager%4Operational.evtx)。”

此外，攻击者还窃取了特定目标设备上的 Google Chrome 和 Microsoft Edge 文件，包括登录数据、Cookie 和本地状态。这些文件包含保存的凭据和身份验证 cookie，可能允许攻击者破坏其他设备。

Volexity 表示，可以使用两种方法来检测Palo Alto Networks 防火墙是否遭到破坏。他们仍在与 Palo Alto Networks 合作研究一种方法，因此他们目前尚未准备好共享信息。

另一种方法是：

1. 生成技术支持文件，该文件可用于生成包含取证工件的日志，可对其进行分析以检测妥协。
2. 监控 Direct-to IP HTTP 的网络活动，以下载有效负载、源自 GlobalProtect 设备的 SMB/RDP 连接、包含浏览器数据的 SMB 文件传输，以及来自以下地址的向 worldtimeapi[.]org/api/timezone/etc/utc 发出的 HTTP 请求装置。

原文地址：https://www.bleepingcomputer.com/news/security/palo-alto-networks-zero-day-exploited-since-march-to-backdoor-firewalls/

图片来源：https://www.bleepingcomputer.com/news/security/palo-alto-networks-zero-day-exploited-since-march-to-backdoor-firewalls/

申明：本公众号所分享内容仅用于网络安全技术讨论，切勿用于违法途径，
所有渗透都需获取授权，违者后果自行承担，与本号及作者无关，请谨记守法.

没看够~？欢迎关注！
分享本文到朋友圈，可以凭截图找老师领取
上千教程+工具+靶场账号哦
原文始发于微信公众号（掌控安全EDU）：黑客利用Palo Alto Networks 防火墙零日漏洞发起攻击