Hackers implementan backdoor de Python aprovechando Zero Day de Palo Alto

Los perpetradores de amenazas han estado aprovechando la recién descubierta vulnerabilidad zero-day en el software PAN-OS de Palo Alto Networks desde el 26 de marzo de 2024, casi tres semanas antes de que saliera a la luz ayer.

La división Unit 42 de la empresa de seguridad en red está monitoreando la actividad bajo el nombre Operación EclipseNocturno, atribuyéndola como la obra de un único actor de amenazas de procedencia desconocida.

La vulnerabilidad de seguridad, identificada como CVE-2024-3400 (puntuación CVSS: 10.0), es una falla de inyección de comandos que permite a los atacantes no autenticados ejecutar código arbitrario con privilegios de root en el firewall.

Es relevante destacar que el problema solo afecta a las configuraciones de firewall PAN-OS 10.2, PAN-OS 11.0 y PAN-OS 11.1 que tienen habilitado el gateway GlobalProtect y la telemetría del dispositivo.

La Operación EclipseNocturno implica la explotación de la vulnerabilidad para crear una tarea programada que se ejecuta cada minuto para obtener comandos alojados en un servidor externo («172.233.228[.]93/policy» o «172.233.228[.]93/patch»), los cuales luego se ejecutan utilizando el intérprete de comandos bash.

Se dice que los atacantes gestionaron manualmente una lista de control de acceso (ACL) para el servidor de comando y control (C2) para asegurarse de que solo pueda acceder desde el dispositivo que se comunica con él.

Aunque la naturaleza exacta del comando es desconocida, se sospecha que la URL sirve como vehículo de entrega para un backdoor basado en Python en el firewall que Volexity, que descubrió la explotación en la naturaleza de CVE-2024-3400 el 10 de abril de 2024, está rastreando como UPSTYLE y está alojado en un servidor diferente («144.172.79[.]92» y «nhdata.s3-us-west-2.amazonaws[.]com»).

El archivo Python está diseñado para escribir y ejecutar otro script de Python («system.pth»), que posteriormente decodifica y ejecuta el componente de backdoor incrustado que es responsable de ejecutar los comandos del actor de amenazas en un archivo llamado «sslvpn_ngx_error.log». Los resultados de la operación se escriben en un archivo separado llamado «bootstrap.min.css».

El aspecto más interesante de la cadena de ataque es que tanto los archivos utilizados para extraer los comandos como para escribir los resultados son archivos legítimos asociados con el firewall:

  • /var/log/pan/sslvpn_ngx_error.log
  • /var/appweb/sslvpndocs/global-protect/portal/css/bootstrap.min.css

En cuanto a cómo se escriben los comandos en el registro de errores del servidor web, el actor de amenazas falsifica solicitudes de red especialmente diseñadas a una página web inexistente que contiene un patrón específico. El backdoor luego analiza el archivo de registro y busca la línea que coincida con la misma expresión regular («img[([a-zA-Z0-9+/=]+)]») para decodificar y ejecutar el comando dentro de él.

«El guion luego creará otro hilo que ejecuta una función llamada restaurar. La función de restauración toma el contenido original del archivo bootstrap.min.css, así como los tiempos de acceso originales y modificados, duerme durante 15 segundos y escribe los contenidos originales de nuevo en el archivo y restablece los tiempos de acceso y modificación a sus valores originales», dijo Unit 42.

El objetivo principal parece ser evitar dejar rastros de las salidas de los comandos, lo que requiere que los resultados sean exfiltrados dentro de 15 segundos antes de que se sobrescriba el archivo.

Volexity, en su propio análisis, dijo que observó al actor de amenazas explotando remotamente el firewall para crear un shell inverso, descargar herramientas adicionales, pivotar hacia las redes internas y, en última instancia, exfiltrar datos. La escala exacta de la campaña no está clara en este momento. La empresa ha asignado al adversario el alias de UTA0218.

«El modus operandi y la rapidez empleados por el atacante sugieren un actor de amenazas altamente capaz con un claro manual de instrucciones sobre qué acceder para avanzar en sus objetivos,» dijo la firma de ciberseguridad estadounidense.

«Los objetivos iniciales de UTA0218 estaban dirigidos a obtener las claves de copia de seguridad del dominio DPAPI y apuntar a las credenciales de Active Directory obteniendo el archivo NTDS.DIT. También apuntaron a las estaciones de trabajo de los usuarios para robar cookies guardadas y datos de inicio de sesión, junto con las claves DPAPI de los usuarios.»

Se recomienda a las organizaciones que busquen signos de movimiento lateral internamente desde su dispositivo Palo Alto Networks GlobalProtect firewall.

El desarrollo también ha llevado a la Agencia de Ciberseguridad e Infraestructura de EE. UU. (CISA) a agregar la falla a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), requiriendo que las agencias federales apliquen los parches antes del 19 de abril para mitigar posibles amenazas. Se espera que Palo Alto Networks lance correcciones para la falla a más tardar el 14 de abril.

«Dirigirse a dispositivos perimetrales sigue siendo un vector de ataque popular para actores de amenazas capaces que tienen el tiempo y los recursos para invertir en investigar nuevas vulnerabilidades,» dijo Volexity.

«Es muy probable que UTA0218 sea un actor de amenazas respaldado por un estado basado en los recursos necesarios para desarrollar y explotar una vulnerabilidad de esta naturaleza, el tipo de víctimas atacadas por este actor y las capacidades mostradas para instalar el backdoor de Python y acceder aún más a las redes de las víctimas.»

Gracias por apoyar el libre conocimiento con tu donación!
Bitcoin: bc1q4sw9260twfcxatj8mjp7358cyvrf8whzlelyhj
Ethereum: 0xFb93D2a3c9d1A0b83EE629c2dE1725BCa192e581
Litecoin: LbFduJmHvQXcpCnwfUT7aJ4DYoWSL3iQw8
Dogecoin: D7QQVqNR5rk215A4zd2gyzV9P2bLQtZHFV
Transferencia bancaria en México:
Cuenta CLABE: 646180224401848086 Nombre: Masterhacks LATAM Banco: STP

Unete a nuestros grupos:
WhatsApp: https://chat.whatsapp.com/HcazyklpyeU4X3BF657KFQ
Telegram: https://t.me/masterhacks_net
Canal de WhatsApp https://whatsapp.com/channel/0029VaBBLCn5vKAH9NOWCl3K

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *