Categories: EDUCATIVO

Pesquisadores disponibilizam exploit para bug do Palo Alto PAN-OS

Pesquisadores do watchTowr Labs lançaram uma análise técnica da vulnerabilidade CVE-2024-3400 no PAN-OS da Palo Alto Networks e uma exploração de prova de conceito que pode ser usada para executar comandos shell em firewalls vulneráveis.

CVE-2024-3400 (pontuação CVSS de 10,0) é uma vulnerabilidade crítica de injeção de comando no software PAN-OS da Palo Alto Networks. Um invasor não autenticado pode explorar a falha para executar código arbitrário com privilégios de root nos firewalls afetados. Essa falha afeta os firewalls PAN-OS 10.2, PAN-OS 11.0 e PAN-OS 11.1 configurados com gateway GlobalProtect ou portal GlobalProtect (ou ambos) e telemetria de dispositivo habilitada.

A Palo Alto Networks e a Unidade 42 estão investigando a atividade relacionada à falha CVE-2024-3400 PAN-OS e descobriram que os agentes da ameaça a têm explorado desde 26 de março de 2024.

Os pesquisadores estão rastreando esse conjunto de atividades, conduzido por um ator de ameaça desconhecido, sob o nome de Operação MidnightEclipse.

“A Palo Alto Networks está ciente da exploração maliciosa deste problema. Estamos rastreando a exploração inicial desta vulnerabilidade sob o nome de Operação MidnightEclipse, pois avaliamos com alta confiança que a exploração conhecida que analisamos até agora está limitada a um único ator de ameaça.”  lê o relatório . “Também avaliamos que outros atores de ameaças podem tentar a exploração no futuro.”

Ao explorar a falha, o agente da ameaça foi observado criando um cronjob que seria executado a cada minuto para acessar comandos hospedados em um servidor externo que seria executado via bash.

Os pesquisadores não conseguiram acessar os comandos executados pelos invasores, no entanto, eles acreditam que os agentes da ameaça tentaram implantar um segundo backdoor baseado em Python nos dispositivos vulneráveis.

Pesquisadores da empresa de segurança cibernética Volexity referiram-se a este segundo backdor Python como UPSTYLE.

O agente da ameaça, rastreado pela Volexity como UTA0218, explorou remotamente o dispositivo de firewall para estabelecer um shell reverso e instalar ferramentas adicionais. Seu objetivo principal era extrair dados de configuração dos dispositivos e usá-los como base para expansão lateral nas organizações-alvo.

Agora, o watchTowr Labs lançou outra ferramenta geradora de artefatos de detecção na forma de uma solicitação HTTP

“Como podemos ver, injetamos nossa carga útil de injeção de comando no valor do cookie SESSID – que, quando um dispositivo Palo Alto GlobalProtect tem telemetria habilitada – é então concatenado em uma string e finalmente executado como um comando shell.” lê a análise publicada pelo watchTowr Labs.

“Algo-algo-níveis-de-sofisticação-alcançáveis-apenas-por-um-estado-nação-algo-algo.”

Justin Elze, CTO da TrustedSec , também publicou a exploração usada em ataques na natureza.

https://platform.twitter.com/embed/Tweet.html?creatorScreenName=securityaffairs&dnt=true&embedId=twitter-widget-0&features=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%3D%3D&frame=false&hideCard=false&hideThread=false&id=1780239802496864474&lang=en&origin=https%3A%2F%2Fsecurityaffairs.com%2F161936%2Fhacking%2Fexploit-code-cve-2024-3400-palo-alto-pan-os.html&sessionId=bb18c909c9442462bb14e74fe965422a178b9783&siteScreenName=securityaffairs&theme=light&widgetsVersion=2615f7e52b7e0%3A1702314776716&width=500px

Esta semana, a CISA dos EUA  adicionou a vulnerabilidade CVE-2024-3400 ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), ordenando que as agências federais dos EUA a abordassem até 19 de abril.

Por: Pierluigi Paganini

Ninja

Na cena de cybersecurity a mais de 25 anos, Ninja trabalha como evangelizador de segurança da informação no Brasil. Preocupado com a conscientização de segurança cibernética, a ideia inicial é conseguir expor um pouco para o publico Brasileiro do que acontece no mundo.

Recent Posts

Okta alerta para campanha de vishing “Pink” que registra passkeys adversariais em contas Microsoft 365

Grupo O-UNC-066/Pink combina chamadas telefônicas com páginas falsas do Entra ID para enrolar passkeys controlados…

14 horas ago

CISA publica post-mortem de vazamento de chaves AWS GovCloud em GitHub pessoal de contratado

CISA detalha resposta a incidente em que credenciais AWS GovCloud e código de infraestrutura interno…

14 horas ago

Zimbra alerta para falha crítica de XSS armazenado no Classic Web Client; patch 10.1.19 é obrigatório

Zimbra emite alerta crítico após identificar vulnerabilidade stored XSS no Classic Web Client que permite…

14 horas ago

ANPD publica o 1º relatório do sandbox de IA: Metatext, Synapse AI e Prevvine sob supervisão desde março

ANPD divulga 1º Relatório Parcial do Sandbox Regulatório de IA: Metatext, Synapse AI e Prevvine…

19 horas ago

Grok 4.5 gasta 4,2x menos tokens que Opus 4.8 no SWE-Bench Pro: SpaceXAI aposta na eficiência para vencer no custo por tarefa

Grok 4.5 chega com foco em código e agentes: 15.954 tokens médios em SWE-Bench Pro…

19 horas ago

Qualcomm compra Modular por US$ 3,9 bi para atacar o fosso do CUDA: MAX e Mojo entram na guerra por data centers

Qualcomm anuncia compra da Modular por ~US$ 3,9 bi para desafiar CUDA da NVIDIA com…

19 horas ago