In einer alarmierenden Enthüllung hat Palo Alto Networks eine aktiv ausgenutzte Zero-Day-Schwachstelle in ihrer PAN-OS Firewall Software gemeldet, die weitreichende unautorisierte Zugriffe durch Hacker ermöglicht.
Die Sicherheitslücke, identifiziert als CVE-2024-3400 und mit der maximalen Schwerebewertung von 10.0 bewertet, betrifft spezifische Firewall-Konfigurationen von PAN-OS 10.2, 11.0 und 11.1, in denen sowohl das GlobalProtect-Gateway als auch die Gerätetelemetrie aktiviert sind. Diese Schwachstelle wurde von der Sicherheitsfirma Volexity entdeckt, die feststellte, dass sie bereits seit dem 26. März 2024 ausgenutzt wird – rund drei Wochen, bevor sie öffentlich bekannt wurde.
Operation MidnightEclipse: Eine raffinierte Cyberangriffskampagne
Unter dem Codenamen „Operation MidnightEclipse“ haben Angreifer diese Schwachstelle ausgenutzt, um alle Minute über einen Cron-Job Befehle von einem externen Server zu beziehen und diese mittels Bash-Shell auszuführen. Diese Befehle scheinen über zwei spezifische URLs („172.233.228[.]93/policy“ oder „172.233.228[.]93/patch“) bezogen und auf dem betroffenen System mit Root-Rechten ausgeführt zu werden.
Interessanterweise wird vermutet, dass diese URLs als Übertragungswege für eine Python-basierte Backdoor dienen, die auf einem separaten Server gehostet wird („144.172.79[.]92“ und „nhdata.s3-us-west-2.amazonaws[.]com“). Diese Python-Datei ist so konzipiert, dass sie ein weiteres Skript („system.pth“) schreibt und startet, welches dann die eingebettete Backdoor-Komponente ausführt. Die Ergebnisse dieser Operationen werden in einer separaten Datei („bootstrap.min.css“) gespeichert.
Tarnung und fortgeschrittene Techniken
Eine der bemerkenswertesten Aspekte dieser Angriffskette ist, dass die für das Extrahieren der Befehle und das Schreiben der Ergebnisse verwendeten Dateien legitime Dateien sind, die mit der Firewall verbunden sind:
- /var/log/pan/sslvpn_ngx_error.log
- /var/appweb/sslvpndocs/global-protect/portal/css/bootstrap.min.css
Die Bedrohungsakteure nutzen speziell gestaltete Netzwerkanfragen an eine nicht existierende Webseite, die ein bestimmtes Muster enthält, um Befehle in das Webserver-Error-Log einzuschleusen. Die Backdoor analysiert dann das Log-File und sucht nach der Zeile, die demselben regulären Ausdruck („img([a−zA−Z0−9+/=]+)([a−zA−Z0−9+/=]+)“) entspricht, um den Befehl zu dekodieren und auszuführen.
Reaktionen und Maßnahmen
Die Entdeckung hat dazu geführt, dass die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) diese Schwachstelle in ihren Katalog bekannt ausgenutzter Schwachstellen (KEV) aufgenommen hat, was Bundesbehörden verpflichtet, die Patches bis zum 19. April anzuwenden, um potenziellen Bedrohungen entgegenzuwirken. Palo Alto Networks plant, die Fixes für die Schwachstelle spätestens am 14. April zu veröffentlichen.
Die raffinierte Natur und der ernsthafte Impact dieser Exploits unterstreichen die Notwendigkeit für Organisationen, die Sicherheit ihrer Netzwerkränder ernst zu nehmen und proaktiv Schutzmaßnahmen gegen solche hochentwickelten Bedrohungsakteure zu implementieren, die kontinuierlich nach neuen Schwachstellen suchen, um ihre Angriffe durchzuführen. Dieser Vorfall dient als weiterer Weckruf für die Cybersecurity-Community, um die Verteidigung gegen die immer weiter fortgeschrittenen Techniken von Cyberkriminellen zu verstärken.