Le vulnerabilità nei sistemi critici rappresentano una minaccia costante e crescente.
Una delle più recenti e significative scoperte è CVE-2024-3400, una falla di sicurezza che ha colpito il software PAN-OS di Palo Alto Networks, noto per la sua diffusione in ambito aziendale.
Questa vulnerabilità, che consente l’esecuzione di comandi arbitrari con privilegi di root, ha destato particolare preoccupazione per il suo elevato livello di rischio e l’impatto potenziale sulle infrastrutture di rete.
In questo articolo, esploreremo i dettagli della vulnerabilità, l’attività post-exploit osservata e le misure di mitigazione raccomandate.
Descrizione della vulnerabilità
CVE-2024-3400 è una vulnerabilità di command injection riscontrata nel software PAN-OS di Palo Alto Networks, in particolare nella funzionalità GlobalProtect.
Questa vulnerabilità permette a un attaccante o utente non autenticato di eseguire codice arbitrario con privilegi di root sul firewall, rappresentando una minaccia critica per le infrastrutture di rete che utilizzano queste configurazioni. Le versioni affette sono PAN-OS 10.2, 11.0 e 11.1 configurate con GlobalProtect gateway o portal.
Gravità e impatto
Questa vulnerabilità ha ricevuto un punteggio CVSS di 10.0, il massimo possibile, indicando un impatto molto elevato su confidenzialità, integrità e disponibilità dei sistemi affetti.
Gli attacchi sfruttano la possibilità di creare file arbitrari, che permettono di iniettare comandi nel sistema operativo e ottenere privilegi di root.
Questo tipo di attacco è particolarmente pericoloso perché non richiede autenticazione, ha una complessità bassa e non necessita di interazione da parte dell’utente.
Sistemi affetti
I sistemi affetti includono:
- PAN-OS 10.2
- PAN-OS 11.0
- PAN-OS 11.1
I dispositivi come Cloud NGFW, Panorama e Prisma Access non sono impattati da questa vulnerabilità.
Mitigazioni e correzioni
Palo Alto Networks ha rilasciato correzioni per le versioni affette:
- PAN-OS 10.2: dalla versione 10.2.0-h3 fino a 10.2.9-h1
- PAN-OS 11.0: dalla versione 11.0.0-h3 fino a 11.0.4-h1
- PAN-OS 11.1: dalla versione 11.1.0-h3 fino a 11.1.2-h3
Gli utenti sono fortemente consigliati di aggiornare i loro sistemi a queste versioni per proteggere i dispositivi.
Inoltre, i clienti con un abbonamento a Threat Prevention possono bloccare gli attacchi utilizzando le firme di prevenzione delle minacce come i Threat ID 95187, 95189 e 95191.
Dettagli sull’attacco
L’Operazione MidnightEclipse, nome dato alla campagna di sfruttamento di questa vulnerabilità, ha mostrato diversi livelli di attività:
- Livello 0: Tentativi di accesso alla rete non riusciti.
- Livello 1: Test della vulnerabilità con creazione di file di 0 byte sul firewall.
- Livello 2: Esfiltrazione potenziale di file, come il file di configurazione running_config.xml, copiato in una posizione accessibile tramite richiesta web. Livello 3: Accesso interattivo con esecuzione di comandi shell-based, installazione di backdoor e altre attività post-exploit.
Attività Post-Exploitation
I tentativi iniziali di sfruttamento includevano l’installazione di un backdoor Python denominato UPSTYLE.
Dopo diversi tentativi falliti, l’attore di minaccia ha optato per l’installazione di un backdoor basato su cron job.
Le attività post-exploit includevano la copia di file di configurazione in cartelle accessibili via web e la loro esfiltrazione tramite richieste HTTP.
L’indirizzo IP 66.235.168[.]222 è stato utilizzato per accedere ai file esfiltrati.
Indicatori di Compromissione (IoC)
UPSTYLE Backdoor
- SHA256: 3de2a4392b8715bad070b2ae12243f166ead37830f7c6d24e778985927f9caac
- SHA256: 5460b51da26c060727d128f3b3d6415d1a4c25af6a29fef4cc6b867ad3659078
Infrastruttura di Comando e Controllo
- 172.233.228[.]93
- hxxp://172.233.228[.]93/policy
- hxxp://172.233.228[.]93/patch
- 66.235.168[.]222
Hosted Python Backdoor
- 144.172.79[.]92
- nhdata.s3-us-west-2.amazonaws[.]com
Azioni consigliate per prevenire infezioni
Si consiglia agli utenti che sono in possesso di questa tecnologia di:
- Aggiornare immediatamente a una versione corretta di PAN-OS.
- Applicare le firme di prevenzione delle minacce per bloccare gli attacchi.
- Monitorare la rete per attività anomale e investigare qualsiasi attività sospetta.
CVE-2024-3400 rappresenta una minaccia critica per le infrastrutture di rete che utilizzano il software PAN-OS di Palo Alto Network.
La rapidità nell’implementare le correzioni e nell’applicare le mitigazioni necessarie è essenziale per proteggere i sistemi da possibili attacchi. La cooperazione tra Palo Alto Network e la comunità della sicurezza è stata fondamentale per affrontare e mitigare efficacemente questa vulnerabilità.
Le organizzazioni devono monitorare continuamente le loro reti per rilevare e rispondere prontamente a eventuali tentativi di sfruttamento.
Se si sospetta una compromissione del proprio firewall, contattare immediatamente il supporto di Palo Alto Networks per assistenza.
- Autore articolo
- Gli ultimi articoli
Responsabile Marketing per due aziende leader nel settore della Sicurezza Informatica: organizzo e progetto iniziative di diffusione della cultura cybersecurity e dei rischi cyber-crime attraverso contenuti web, eventi on e off line e materiale info-grafico. Ho una naturale propensione per far coesistere il lato metodico e preciso del mio carattere con la parte più creativa, visionaria e ambiziosa di me. Sono curiosa, riflessiva e non metto freni alla mia fame di conoscenza.