Des pirates présumés parrainés par l’État exploitent une vulnérabilité zero-day dans les pare-feu de Palo Alto Networks suivis sous le numéro CVE-2024-3400 depuis le 26 mars, utilisant les appareils compromis pour violer les réseaux internes, voler des données et des informations d’identification.

Palo Alto Networks a averti hier que des pirates informatiques exploitaient activement une vulnérabilité d’exécution de code à distance non authentifiée dans son logiciel de pare-feu PAN-OS et que des correctifs seraient disponibles le 14 avril.

Alors que la faille était utilisée dans les attaques, Palo Alto Networks a décidé de divulguer les atténuations informatiques et de publication afin que les clients puissent protéger leurs appareils jusqu’à ce que les correctifs soient terminés.

Un rapport ultérieur de Volexity, qui a découvert la faille zero-day, fournit plus de détails sur la façon dont les pirates ont exploité la vulnérabilité depuis mars et installé une porte dérobée personnalisée pour pivoter vers le réseau interne de la cible et voler des données.

Volexity suit cette activité malveillante sous le surnom UTA0218 et estime qu’il est très probable que des acteurs de la menace parrainés par un État mènent les attaques.

« Au moment de la rédaction de cet article, Volexity n’était pas en mesure de relier l’activité à d’autres activités de menace », lit-on dans un rapport de Volexity.

« Volexity estime qu’il est très probable que UTA0218 soit un acteur de menace soutenu par un État en fonction des ressources nécessaires pour développer et exploiter une vulnérabilité de cette nature, du type de victimes ciblées par cet acteur et des capacités affichées pour installer la porte dérobée Python et accéder davantage aux réseaux des victimes. »

Exploiter le jour zéro depuis mars
Volexity dit avoir détecté pour la première fois l’exploitation du jour zéro le 10 avril 2024, dans la fonctionnalité GlobalProtect du système d’exploitation PAN Palo Alto Networks, et a informé le fournisseur de l’activité.

Le lendemain, Volexity a observé une « exploitation identique » du même jour zéro chez un autre client pour créer un shell inversé vers l’infrastructure de l’attaquant et télécharger d’autres charges utiles sur l’appareil.

D’autres enquêtes menées par la société ont indiqué que les acteurs de la menace exploitaient le jour zéro CVE-2024-3400 depuis au moins le 26 mars, mais n’avaient déployé de charges utiles que le 10 avril.

L’une des charges utiles installées est un implant personnalisé nommé « Upstyle » conçu spécifiquement pour que PAN-OS agisse comme une porte dérobée pour exécuter des commandes sur des appareils compromis.

Cette porte dérobée est installée via un script Python qui crée un fichier de configuration de chemin dans ‘/usr/lib / python3. 6/site-packages / system.pth ».

Charge utile Python initiale pour installer la porte dérobée

Selon la documentation Python, Python utilise un fichier de configuration de chemin pour ajouter des répertoires supplémentaires au système.variable path, qui est utilisée pour rechercher les modules à charger.

Cependant, si le .le fichier pth commence par l’importation suivie d’un espace ou d’une tabulation, il exécutera l’un des codes suivants à chaque démarrage de Python.

Le système.le fichier pth est la porte dérobée Upstyle et Volexity indique qu’il surveillera les journaux d’accès du serveur Web pour extraire les commandes base64 à exécuter.

« Les commandes à exécuter sont falsifiées par l’attaquant en demandant une page Web inexistante qui contient le modèle spécifique », explique le rapport de Volexity.

« Le but de la porte dérobée est ensuite d’analyser le journal des erreurs du serveur Web (/var/log/pan / sslvpn_ngx_error.log) à la recherche du modèle, et pour analyser et décoder les données ajoutées à l’URI inexistant, en exécutant la commande qu’il contient. »

« La sortie de la commande est ensuite ajoutée à un fichier CSS qui est une partie légitime du pare-feu (/var/appweb/sslvpndocs/global-protect/portal/css/bootstrap.min.css). »

Les commandes à exécuter sont codées en base64 et extraites des journaux à l’aide d’une expression régulière, qui a été expurgée en raison de l’état d’exploitation actuel.

Extraire les commandes à exécuter et écrire la sortie dans les journaux

Vous trouverez ci-dessous un diagramme illustrant le fonctionnement de la porte dérobée Upstyle.

Diagramme illustrant le fonctionnement de la porte dérobée Upstyle

En plus de la porte dérobée, Volexity a observé les acteurs de la menace déployer des charges utiles supplémentaires pour démarrer des shells inversés, exfiltrer les données de configuration PAN-OS, supprimer les fichiers journaux, déployer l’outil de tunneling Golang nommé GOST.

Dans l’une des violations, Volexity a observé les attaquants pivoter vers le réseau interne pour voler des fichiers Windows sensibles, tels que « la base de données Active Directory (ntds.dit), les données clés (DPAPI) et les journaux d’événements Windows (Microsoft-Windows-TerminalServices-LocalSessionManager%4Operational.(voir ci-dessous). »

De plus, les auteurs de la menace ont volé des fichiers Google Chrome et Microsoft Edge sur des appareils cibles spécifiques, y compris les données de connexion, les cookies et l’état local.

Ces fichiers contiennent des informations d’identification enregistrées et des cookies d’authentification qui pourraient permettre aux attaquants de violer d’autres appareils.

Aucune autre charge utile n’a été déployée sur les appareils, mais on ne sait pas si c’était par plan ou parce que Volexity a détecté l’activité.

Volexity indique que deux méthodes peuvent être utilisées pour détecter si un pare-feu Palo Alto Networks a été compromis.

Une méthode sur laquelle ils travaillent toujours avec Palo Alto Networks, ils ne sont donc pas prêts à partager des informations pour le moment.

L’autre méthode consiste à:

  1. Générez un fichier de support technique, qui peut être utilisé pour générer des journaux contenant des artefacts médico-légaux qui peuvent être analysés pour détecter les compromis.
  2. Surveillez l’activité réseau pour HTTP direct vers IP afin de télécharger des charges utiles, des connexions SMB/RDP provenant de l’appareil GlobalProtect et des transferts de fichiers SMB contenant des données de navigateur et des requêtes HTTP vers worldtimeapi[.]org / api / fuseau horaire / etc / utc à partir de l’appareil.

Des informations plus détaillées sur l’utilisation de ces méthodes sont disponibles dans le rapport de Volexity.

Les périphériques réseau sont devenus une cible populaire
Comme les périphériques réseau périphériques ne prennent généralement pas en charge les solutions de sécurité et sont exposés à Internet, ils sont devenus des cibles privilégiées pour les acteurs de la menace qui volent des données et obtiennent un accès initial à un réseau.

En mars 2023, il a été révélé que des pirates informatiques liés à la Chine exploitaient Fortinet zero-days pour installer un implant personnalisé sur des appareils afin de voler des données et de basculer vers les serveurs VMware ESXi et vCenter.

Le même mois, une campagne de piratage chinoise présumée a ciblé des appliances SonicWall Secure Mobile Access (SMA) non corrigées pour installer des logiciels malveillants personnalisés pour des campagnes de cyberespionnage.

En avril 2023, les États-Unis et le Royaume-Uni ont averti que les pirates informatiques APT28 parrainés par l’État russe déployaient un logiciel malveillant personnalisé nommé « Jaguar Tooth » sur les routeurs Cisco IOS.

En mai 2023, un groupe de piratage parrainé par l’État chinois infectait les routeurs TP-Link avec des logiciels malveillants personnalisés utilisés pour attaquer les organisations européennes des Affaires étrangères.

Enfin, les appareils Barracuda ESG ont été exploités pendant sept mois pour déployer des logiciels malveillants personnalisés et voler des données. Le compromis sur ces appareils était si omniprésent que Barracuda a recommandé aux entreprises de remplacer les appareils compromis plutôt que d’essayer de les restaurer.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *