(4/17更新有)Palo Alto Networks製品の脆弱性に対応してください(悪用中)
脅威インテリジェンスサービスCognyteは、ダークウェブやTelegram、SNSなどから膨大な情報を収集し、情報漏洩や脅威アクターの活動を検知することによって、組織のサイバー・リスクを軽減させるサービスです。
Cognyte CTI Research Group@Cognyte | 2024年4月
2024.4.17追記
本記事公開後、当該脆弱性の悪用条件等の更新が行われています。
最新の情報はPalo Alto Networks社のサイトをご覧ください(こちら)
2024年4月12日、Palo Alto Networks製ネットワーク機器に搭載されているPAN-OSの重大な脆弱性(CVE-2024-3400)が、未知の国家アクターによって悪用されているとの注意喚起がベンダーから公開されました。
当該国家アクターは、脆弱性を悪用しPalo Altoファイアウォールにバックドアを仕掛けた後、種々の侵害活動を行っています。
本記事は、当該ゼロデイ脆弱性に関する最新情報および推奨策を紹介します。
記事に関するご意見・お問い合わせはこちらへお寄せください。
(SOMPOホールディングス、損害保険ジャパンなどグループ各社へのお問い合わせはご遠慮下さい)
ゼロデイ脆弱性CVE-2024-3400の概要
CVE-2024-3400
CVE-2024-3400は、Palo Alto Networks製PAN-OSソフトウェアのGlobalProtect機能(VPN機能に相当)に対するOSコマンドインジェクションの脆弱性です。
悪用に成功した場合、認証されていない攻撃者がファイアウォールのルート権限を用いて任意のコードを実行することを可能にします。
影響を受ける製品
この脆弱性はPAN-OSの10.2、11.0、11.1に影響します。Palo Alto Networksによれば、GlobalProtect Gateway(あるいはGlobalProtectポータル)およびデバイステレメトリ設定の双方が有効になっている場合のみ攻撃が可能となります。
脆弱性の影響を受ける製品に対する緊急パッチ(hotfix)は2024年4月14日にリリースされました。
なお、14日のパッチを早急に適応できない場合の回避策としてPalo Alto Networksは以下を挙げています。
- Threat Preventionサブスクリプションの顧客は、Threat ID 95187を有効にすることで攻撃を阻止できます。
- GlobalProtectインターフェースに対して脆弱性保護を適用し、悪用を阻止できます。
- 上述の対応策が適用できない場合は、デバイステレメトリを一時的に無効化します。
悪用とアトリビューション
ゼロデイ脆弱性の悪用
Palo Alto Networksは脆弱性情報を公開するとともに、この脆弱性を悪用した攻撃が特定数行われていることに言及しました。
攻撃キャンペーンは単一の脅威アクターによって行われており、「Operation Midnight Eclipse」と命名し分析しています。
脅威アクターは脆弱性を悪用した後、スケジュールタスクを実行するLinuxコマンドであるcronジョブを作成し、1分ごとに外部サーバーにアクセスするBashシェルを実行していました。
ベンダーは、この外部サーバーがUPSTYLEと呼ばれる、ファイアウォールを標的にしたPythonバックドアのデプロイに利用されていたと推測します。
別の侵害後活動として、以下が判明しています。
- デバイスを侵害するための追加ツールのダウンロード
- 設定情報の抽出
- 侵害したネットワーク内でのラテラルムーブメント
あるケースでは、攻撃者はPalo Alto Networks製ファイアウォールに利用されていたサービスアカウントを取得後、SMBおよびWinRMを通して内部ネットワークを横断し、アクティブディレクトリ・データベース(ntds.dit)やWindowsOS内部の暗号鍵データ(DPAPI)、Windowsイベントログ等にアクセスしました。続いて攻撃者はChromeおよびEdgeからクレデンシャル等の機密データを抽出しました。
アトリビューション
ゼロデイ脆弱性CVE-2024-3400を発見したリサーチャーは、一連の攻撃を単一の脅威アクターUTA0218によるものと推定しています。
既知の脅威アクター・APTとUTA0218とを結びつけることはできなかったものの、脆弱性を調査しエクスプロイトを開発するためのリソース規模や、標的となった被害組織、攻撃が及ぼしたインパクト等を総合すると、特定の国家が支援している可能性が強いと結論付けられました。
推奨策
Cognyteは、ベンダーが示す推奨策(緊急パッチ等)をPalo Alto Networks該当製品に適用することを推奨します。
また、以下に示すIoCおよびYARAルールを自組織のセキュリティシステムに反映させることを推奨します。
IoC
| 型式 | 値 | 攻撃ツール |
| MD5 | 0c1554888ce9ed0da1583dbdf7b31651 | UPSTYLE(バックドア) |
| SHA-1 | 988fc0d23e6e30c2c46ccec9bbff50b7453b8ba9 | UPSTYLE |
| SHA-256 | 3de2a4392b8715bad070b2ae12243f166ead37830f7c6d24e778985927f9caac | UPSTYLE |
| SHA-256 | 5460b51da26c060727d128f3b3d6415d1a4c25af6a29fef4cc6b867ad3659078 | UPSTYLE |
| URL | 172.233.228.93 | UPSTYLE |
| MD5 | d31ec83a5a79451a46e980ebffb6e0e8 | PATCH(ダウンローダー) |
| SHA-1 | a7c6f264b00d13808ceb76b3277ee5461ae1354e | PATCH |
| SHA-256 | 35a5f8ac03b0e3865b3177892420cb34233c55240f452f00f9004e274a85703c | PATCH |
| MD5 | a43e3cf908244f85b237fdbacd8d82d5 | POLICY |
| SHA-1 | e1e427c9b46064e2b483f90b13490e6ef522cc06 | POLICY |
| SHA-256 | 755f5b8bd67d226f24329dc960f59e11cb5735b930b4ed30b2df77572efb32e8 | POLICY |
| MD5 | 5e4c623296125592256630deabdbf1d2 | POLICY |
| SHA-1 | d12b614e9417c4916d5c5bb6ee42c487c937c058 | POLICY |
| SHA-256 | adba167a9df482aa991faaa0e0cde1182fb9acfbb0dc8d19148ce634608bab87 | POLICY |
| MD5 | 87312a7173889a8a5258c68cac4817bd | POLICY |
| SHA-1 | 3ad9be0c52510cbc5d1e184e0066d14c1f394d4d | POLICY |
| SHA-256 | c1a0d380bf55070496b9420b970dfc5c2c4ad0a598083b9077493e8b8035f1e9 | POLICY |
| MD5 | b9f5e9db9eec8d1301026c443363cf6b | POLICY |
| SHA-1 | d7a8d8303361ffd124cb64023095da08a262cab4 | POLICY |
| SHA-256 | fe07ca449e99827265ca95f9f56ec6543a4c5b712ed50038a9a153199e95a0b7 | POLICY |
| MD5 | 12b5e30c2276664e87623791085a3221 | POLICY |
| SHA-1 | f99779a5c891553ac4d4cabf928b2121ca3d1a89 | POLICY |
| SHA-256 | 96dbec24ac64e7dd5fef6e2c26214c8fe5be3486d5c92d21d5dcb4f6c4e365b9 | POLICY |
| MD5 | 724c8059c150b0f3d1e0f80370bcfe19 | POLICY |
| SHA-1 | 5592434c40a30ed2dfdba0a86832b5f2eaaa437c | POLICY |
| SHA-256 | e315907415eb8cfcf3b6a4cd6602b392a3fe8ee0f79a2d51a81a928dbce950f8 | POLICY |
YARAルール
rule apt_malware_py_upstyle : UTA0218
{
meta:
author = "threatintel@volexity.com"
date = "2024-04-11"
description = "Detect the UPSTYLE webshell."
hash1 = "3de2a4392b8715bad070b2ae12243f166ead37830f7c6d24e778985927f9caac"
hash2 = "0d59d7bddac6c22230187ef6cf7fa22bca93759edc6f9127c41dc28a2cea19d8"
hash3 = "4dd4bd027f060f325bf6a90d01bfcf4e7751a3775ad0246beacc6eb2bad5ec6f"
os = "linux"
os_arch = "all"
report = "TIB-20240412"
scan_context = "file,memory"
last_modified = "2024-04-12T13:05Z"
license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
rule_id = 10429
version = 2
strings:
$stage1_str1 = "/opt/pancfg/mgmt/licenses/PA_VM"
$stage1_str2 = "exec(base64."
$stage2_str1 = "signal.signal(signal.SIGTERM,stop)"
$stage2_str2 = "exec(base64."
$stage3_str1 = "write(\"/*\"+output+\"*/\")"
$stage3_str2 = "SHELL_PATTERN"
condition:
all of ($stage1*) or
all of ($stage2*) or
all of ($stage3*)
}
参考ソース
- https://www.securityweek.com/state-sponsored-hackers-exploit-zero-day-to-backdoor-palo-alto-networks-firewalls/
- https://security.paloaltonetworks.com/CVE-2024-3400
- https://docs.paloaltonetworks.com/pan-os/11-0/pan-os-admin/device-telemetry/device-telemetry-configure/device-telemetry-disablehttps://cybernews.com/editorial/anonymous-sudan-explained/
- https://unit42.paloaltonetworks.com/cve-2024-3400/
- https://www.hivelocity.net/kb/what-is-cron-job/
- https://www.volexity.com/blog/2024/04/12/zero-day-exploitation-of-unauthenticated-remote-code-execution-vulnerability-in-globalprotect-cve-2024-3400/
記事に関するご意見・お問い合わせはこちらへお寄せください。
(SOMPOホールディングス、損害保険ジャパンなどグループ各社へのお問い合わせはご遠慮下さい)
