Vulnerabilidad de ejecución remota de código no autenticado en GlobalProtect de Palo Alto(CVE-2024-3400)
AS-027-2024
Fecha: 12/Abr/2024
Resumen:
El 10 de abril de 2024, Volexity identificó la explotación de día cero de una vulnerabilidad crítica encontrada dentro de la función GlobalProtect de Palo Alto Networks PAN-OS, en uno de sus clientes de monitoreo de seguridad de red (NSM). Volexity recibió alertas sobre tráfico de red sospechoso que emanaba del firewall del cliente. Una investigación posterior determinó que el dispositivo había sido comprometido. Al día siguiente, el 11 de abril de 2024, Volexity observó una explotación adicional e idéntica en otro de sus clientes de NSM por parte del mismo actor de amenazas.
Signos de compromiso-IOCs
| Nombre | update.py |
| Tamaño | 5,1 KB (5187 bytes) |
| Tipo de archivo | Texto sin formato |
| MD5 | 0c1554888ce9ed0da1583dbdf7b31651 |
| SHA1 | 988fc0d23e6e30c2c46ccec9bbff50b7453b8ba9 |
| SHA256 | 3de2a4392b8715bad070b2ae12243f166ead37830f7c6d24e778985927f9caac |
| VirusTotal enviado por primera vez | N / A |
El propósito del script update.py es implementar una puerta trasera en la siguiente ruta: /usr/lib/python3.6/site-packages/system.pth.
Después de la explotación, el actor de la amenaza estableció persistencia al buscar y ejecutar continuamente el contenido de un archivo llamado patch. Cuando se ejecuta, este archivo descarga y ejecuta un archivo alojado de forma remota denominado policy. Al modificar el contenido del archivo policy, el actor de amenazas pudo ejecutar una variedad de comandos en el dispositivo comprometido. Volexity observó un total de seis permutaciones diferentes del archivo.
Los detalles del patch se muestran a continuación:
| Nombre | patch |
| Tamaño | 160,0 B (160 bytes) |
| Tipo de archivo | Texto sin formato |
| MD5 | d31ec83a5a79451a46e980ebffb6e0e8 |
| SHA1 | a7c6f264b00d13808ceb76b3277ee5461ae1354e |
| SHA256 | 35a5f8ac03b0e3865b3177892420cb34233c55240f452f00f9004e274a85703c |
| VirusTotal enviado por primera vez | N / A |
Después de explotar con éxito, se descargó herramientas adicionales de servidores remotos para facilitar el acceso a las redes internas de las víctimas. Rápidamente se movieron lateralmente a través de las redes de las víctimas, extrayendo credenciales confidenciales y otros archivos que permitirían el acceso durante y potencialmente después de la intrusión.
Se observó varias versiones diferentes del archivo. Cada uno de ellos representa un conjunto diferente de acciones tomadas por el actor de la amenaza en un dispositivo comprometido. Dos de las versiones numeradas que siguen son en el orden en que fueron utilizadas por el actor de la amenaza:
| Nombre | policy | policy |
| Tamaño | 287B (287 Bytes) | 216B (216 bytes) |
| Tipo de archivo | text/x-shellscript | texto/x-shellscript |
| MD5 | a43e3cf908244f85b237fdbacd8d82d5 | 5e4c623296125592256630deabdbf1d2 |
| SHA1 | e1e427c9b46064e2b483f90b13490e6ef522cc06 | d12b614e9417c4916d5c5bb6ee42c487c937c058 |
| SHA256 | 755f5b8bd67d226f24329dc960f59e11cb5735b930b4ed30b2df77572efb32e8 | adba167a9df482aa991faaa0e0cde1182fb9acfbb0dc8d19148ce634608bab87 |
| Tamaño | N/A | N/A |
Recomendación.
Volexity recomienda que las organizaciones que utilizan dispositivos de firewall GlobalProtect de Palo Alto Networks lean el aviso para asegurarse de que sus dispositivos de firewall tengan las protecciones correctas o tomen medidas de mitigación para garantizar que ya no sean vulnerables. Como siempre, cabe señalar que estas mitigaciones y correcciones no solucionarán un compromiso existente.
Las organizaciones afectadas deben investigar rápidamente sus sistemas y redes en busca de posibles infracciones.
Los IOCs registrarlos en el equipo perimetral de seguridad.
Referencia:
