Привилегии суперпользователя для чайников: просто используй CVE-2024-3400

CVE-2024-3400 (+ url + github ‎url#1, url#2) — это‏ ‎критическая ‎уязвимость ‎при ‎внедрении ‎команд‏ ‎в ‎программное‏ ‎обеспечение‏ ‎Palo ‎Alto ‎Networks‏ ‎для ‎PAN-OS,‏ ‎которая, ‎в ‎частности, ‎влияет‏ ‎на‏ ‎функцию ‎GlobalProtect.‏ ‎Эта ‎уязвимость‏ ‎позволяет ‎удаленному ‎злоумышленнику, ‎не ‎прошедшему‏ ‎проверку‏ ‎подлинности, ‎выполнить‏ ‎произвольный ‎код‏ ‎с ‎правами ‎суперпользователя ‎на ‎уязвимом‏ ‎брандмауэре.‏ ‎Уязвимость‏ ‎затрагивает ‎версии‏ ‎PAN-OS ‎10.2,‏ ‎11.0 ‎и‏ ‎11.1‏ ‎при ‎настройке‏ ‎с ‎помощью ‎GlobalProtect ‎gateway ‎или‏ ‎GlobalProtect ‎portal.

Первоначальное‏ ‎обнаружение‏ ‎и ‎использование:

📌Уязвимость ‎была‏ ‎впервые ‎обнаружена‏ ‎Volexity ‎26 ‎марта ‎2024‏ ‎года.

📌Злоумышленники,‏ ‎идентифицированные ‎как‏ ‎поддерживаемая ‎государством‏ ‎группа ‎UTA0218, ‎воспользовались ‎уязвимостью ‎для‏ ‎получения‏ ‎несанкционированного ‎доступа‏ ‎к ‎устройствам‏ ‎брандмауэра.

Вектор ‎атаки:

📌Уязвимость ‎используется ‎с ‎помощью‏ ‎ошибки‏ ‎фильтрации‏ ‎команд ‎в‏ ‎функции ‎GlobalProtect.‏ ‎Злоумышленники ‎могут‏ ‎манипулировать‏ ‎cookie ‎SESSID‏ ‎для ‎создания ‎произвольных ‎файлов ‎в‏ ‎системе, ‎которые‏ ‎затем‏ ‎могут ‎быть ‎использованы‏ ‎для ‎выполнения‏ ‎команд ‎с ‎правами ‎суперпользователя.

📌Атака‏ ‎не‏ ‎требует ‎аутентификации,‏ ‎что ‎делает‏ ‎ее ‎чрезвычайно ‎опасной ‎ввиду ‎низкой‏ ‎сложности‏ ‎применения.

Последовательность ‎действий:

Шаг‏ ‎1: ‎Разведка:

📌Злоумышленники‏ ‎сканируют ‎уязвимые ‎устройства ‎PAN-OS, ‎настроенные‏ ‎с‏ ‎помощью‏ ‎GlobalProtect ‎gateway‏ ‎или ‎портала.

📌Они‏ ‎используют ‎простые‏ ‎команды‏ ‎для ‎размещения‏ ‎в ‎системе ‎файлов ‎размером ‎в‏ ‎ноль ‎байт‏ ‎для‏ ‎проверки ‎уязвимости.

Шаг ‎2:‏ ‎Первоначальное ‎использование:

📌Злоумышленники‏ ‎отправляют ‎на ‎уязвимое ‎устройство‏ ‎специально‏ ‎созданные ‎сетевые‏ ‎запросы, ‎манипулируя‏ ‎cookie-файлом ‎SESSID ‎для ‎создания ‎файла‏ ‎в‏ ‎определенном ‎каталоге.

📌Пример:‏ ‎Cookie: ‎SESSID=/./././var/appweb/sslvpndocs/global-protect/portal/images/poc.txt.

Шаг‏ ‎3: ‎Выполнение ‎команды:

📌Созданный ‎файл ‎используется‏ ‎для‏ ‎ввода‏ ‎и ‎выполнения‏ ‎произвольных ‎команд‏ ‎с ‎правами‏ ‎суперпользователя.

📌Злоумышленники‏ ‎создают ‎reverseshell‏ ‎и ‎устанавливают ‎дополнительные ‎инструменты, ‎такие‏ ‎как ‎пользовательский‏ ‎Python-бэкдор‏ ‎UPSTYLE, ‎для ‎обеспечения‏ ‎закрепления ‎в‏ ‎системе.

Шаг ‎4: ‎Последующая ‎эксплуатация:

📌Злоумышленники‏ ‎извлекают‏ ‎конфиденциальные ‎данные,‏ ‎включая ‎текущую‏ ‎конфигурацию ‎брандмауэра ‎и ‎учетные ‎данные‏ ‎пользователя.

📌Они‏ ‎также ‎могут‏ ‎использовать ‎взломанное‏ ‎устройство ‎для ‎распространения ‎по ‎сети.

Обнаруженная‏ ‎вредоносная‏ ‎активность:

📌Всплеск‏ ‎вредоносной ‎активности‏ ‎наблюдался ‎вскоре‏ ‎после ‎публичного‏ ‎раскрытия‏ ‎уязвимости ‎и‏ ‎публикации ‎сценария ‎эксплойта ‎на ‎GitHub.

📌Злоумышленники‏ ‎использовали ‎бэкдор‏ ‎UPSTYLE‏ ‎для ‎косвенного ‎взаимодействия‏ ‎со ‎взломанным‏ ‎устройством, ‎отправляя ‎команды ‎через‏ ‎журналы‏ ‎ошибок ‎и‏ ‎получая ‎выходные‏ ‎данные ‎через ‎общедоступную ‎таблицу ‎стилей.