Last Updated on 2024-06-26 12:24 by 門倉 朋宏
脅威アクターが2024年3月26日から、Palo Alto NetworksのPAN-OSソフトウェアに新たに公表されたゼロデイ脆弱性を悪用していることが判明した。この活動は、同社のUnit 42部門によってOperation MidnightEclipseと名付けられ、未知の出所の単一の脅威アクターの仕業とされている。このセキュリティ脆弱性はCVE-2024-3400(CVSSスコア: 10.0)として追跡され、認証されていない攻撃者がファイアウォール上で任意のコードをroot権限で実行できるコマンドインジェクションの欠陥である。この問題は、GlobalProtectゲートウェイとデバイステレメトリが有効になっているPAN-OS 10.2、PAN-OS 11.0、およびPAN-OS 11.1のファイアウォール構成にのみ適用される。
Operation MidnightEclipseでは、この脆弱性を悪用して、外部サーバー(”172.233.228[.]93/policy”または”172.233.228[.]93/patch”)にホストされたコマンドを毎分取得して実行するcronジョブが作成される。攻撃者は、コマンドアンドコントロール(C2)サーバーに対するアクセス制御リスト(ACL)を手動で管理し、それがデバイスと通信しているデバイスからのみアクセスできるようにしている。コマンドの正確な性質は不明だが、URLはファイアウォール上のPythonベースのバックドアの配信手段として機能し、VolexityがCVE-2024-3400の野外での悪用を2024年4月10日に発見し、UPSTYLEとして追跡しているもので、別のサーバー(”144.172.79[.]92″および”nhdata.s3-us-west-2.amazonaws[.]com”)にホストされている。
このPythonファイルは、別のPythonスクリプト(”system.pth”)を書き込んで起動し、その後、組み込まれたバックドアコンポーネントをデコードして実行し、脅威アクターのコマンドをファイル”sslvpn_ngx_error.log”で実行するように設計されている。操作の結果は、”bootstrap.min.css”という別のファイルに書き込まれる。攻撃チェーンの最も興味深い側面は、コマンドを抽出して結果を書き込むために使用される両方のファイルがファイアウォールに関連付けられた正当なファイルであることだ。
Volexityは、脅威アクターがファイアウォールを遠隔操作してリバースシェルを作成し、追加のツールをダウンロードし、内部ネットワークにピボットして最終的にデータを盗み出すことを観察した。キャンペーンの正確な規模は現在不明である。この敵は、会社によってUTA0218という名前が付けられている。
この開発により、米国サイバーセキュリティおよびインフラストラクチャセキュリティ庁(CISA)は、この脆弱性をその既知の悪用された脆弱性(KEV)カタログに追加し、潜在的な脅威を軽減するために4月19日までにパッチを適用するよう連邦機関に要求した。Palo Alto Networksは、4月14日までにこの欠陥の修正をリリースする予定である。
【ニュース解説】
2024年3月26日から、Palo Alto NetworksのPAN-OSソフトウェアにおける新たに公表されたゼロデイ脆弱性が悪用されていることが明らかになりました。この脆弱性は、特定のファイアウォール構成において、認証されていない攻撃者がroot権限で任意のコードを実行できるコマンドインジェクションの欠陥です。この活動は「Operation MidnightEclipse」と名付けられ、未知の出所の単一の脅威アクターによるものとされています。
この攻撃では、外部サーバーにホストされたコマンドを定期的に取得して実行するcronジョブが作成されます。これにより、攻撃者はファイアウォール上にPythonベースのバックドアを設置し、さらに内部ネットワークへのアクセスやデータの盗み出しを行うことが可能になります。特に注目すべきは、攻撃に使用されるファイルがファイアウォールに関連付けられた正当なファイルであることです。これにより、攻撃の痕跡を残さずに操作を行うことができます。
この脆弱性の発見と悪用は、サイバーセキュリティの分野において重要な意味を持ちます。まず、ファイアウォールといったセキュリティデバイスが攻撃の対象となることで、組織の防御の最前線が脅かされることを示しています。また、攻撃者が高度な技術を駆使して検出を避けながら操作を行う能力を持っていることが示されています。
このような攻撃は、組織にとって複数のリスクをもたらします。内部ネットワークへのアクセスが可能になることで、機密情報の漏洩やシステムの破壊など、重大なセキュリティインシデントにつながる可能性があります。また、攻撃が長期間にわたって検出されない場合、被害の範囲が拡大する恐れもあります。
この問題に対処するためには、Palo Alto Networksから提供されるパッチを迅速に適用することが重要です。さらに、組織はファイアウォールやその他のセキュリティデバイスの設定を定期的に見直し、不正なアクセスや異常な動作を検出するための監視体制を強化する必要があります。
長期的な視点では、このようなゼロデイ脆弱性の発見と悪用は、サイバーセキュリティの分野における継続的な研究と開発を促すことになります。攻撃者と防御者の間の「競争」は終わることがなく、新たな脅威に対応するための技術や手法の進化が求められます。また、組織はセキュリティ対策を単一のデバイスやソリューションに依存するのではなく、多層的な防御戦略を構築することが重要です。
from Hackers Deploy Python Backdoor in Palo Alto Zero-Day Attack.
