%{FACEBOOKSCRIPT}%
  1. HOME
  2. サイバーセキュリティお役立ち情報
  3. 記事一覧
  4. (4/17更新有)Palo Alto Networks製品の脆弱性に対応してください(悪用中)

(4/17更新有)Palo Alto Networks製品の脆弱性に対応してください(悪用中)

  • LINEで送る
  • このエントリーをはてなブックマークに追加
(4/17更新有)Palo Alto Networks製品の脆弱性に対応してください(悪用中)

脅威インテリジェンスサービスCognyteは、ダークウェブTelegram、SNSなどから膨大な情報を収集し、情報漏洩や脅威アクターの活動を検知することによって、組織のサイバー・リスクを軽減させるサービスです。

 Cognyte CTI Research Group@Cognyte | 2024年4月

 

2024.4.17追記
本記事公開後、当該脆弱性の悪用条件等の更新が行われています。
最新の情報はPalo Alto Networks社のサイトをご覧ください(こちら

2024年4月12日、Palo Alto Networks製ネットワーク機器に搭載されているPAN-OSの重大な脆弱性(CVE-2024-3400)が、未知の国家アクターによって悪用されているとの注意喚起がベンダーから公開されました。
当該国家アクターは、脆弱性を悪用しPalo Altoファイアウォールバックドアを仕掛けた後、種々の侵害活動を行っています。

本記事は、当該ゼロデイ脆弱性に関する最新情報および推奨策を紹介します。

記事に関するご意見・お問い合わせはこちらへお寄せください。
(SOMPOホールディングス、損害保険ジャパンなどグループ各社へのお問い合わせはご遠慮下さい)

 

ゼロデイ脆弱性CVE-2024-3400の概要

CVE-2024-3400

CVE-2024-3400は、Palo Alto Networks製PAN-OSソフトウェアのGlobalProtect機能(VPN機能に相当)に対するOSコマンドインジェクションの脆弱性です。
悪用に成功した場合、認証されていない攻撃者がファイアウォールのルート権限を用いて任意のコードを実行することを可能にします。

影響を受ける製品

この脆弱性はPAN-OSの10.2、11.0、11.1に影響します。Palo Alto Networksによれば、GlobalProtect Gateway(あるいはGlobalProtectポータル)およびデバイステレメトリ設定の双方が有効になっている場合のみ攻撃が可能となります。

脆弱性の影響を受ける製品に対する緊急パッチ(hotfix)は2024年4月14日にリリースされました。

なお、14日のパッチを早急に適応できない場合の回避策としてPalo Alto Networksは以下を挙げています。

  • Threat Preventionサブスクリプションの顧客は、Threat ID 95187を有効にすることで攻撃を阻止できます。
  • GlobalProtectインターフェースに対して脆弱性保護を適用し、悪用を阻止できます。
  • 上述の対応策が適用できない場合は、デバイステレメトリを一時的に無効化します。

 

悪用とアトリビューション

ゼロデイ脆弱性の悪用

Palo Alto Networksは脆弱性情報を公開するとともに、この脆弱性を悪用した攻撃が特定数行われていることに言及しました。
攻撃キャンペーンは単一の脅威アクターによって行われており、「Operation Midnight Eclipse」と命名し分析しています。

脅威アクターは脆弱性を悪用した後、スケジュールタスクを実行するLinuxコマンドであるcronジョブを作成し、1分ごとに外部サーバーにアクセスするBashシェルを実行していました。

ベンダーは、この外部サーバーがUPSTYLEと呼ばれる、ファイアウォールを標的にしたPythonバックドアのデプロイに利用されていたと推測します。
別の侵害後活動として、以下が判明しています。

あるケースでは、攻撃者はPalo Alto Networks製ファイアウォールに利用されていたサービスアカウントを取得後、SMBおよびWinRMを通して内部ネットワークを横断し、アクティブディレクトリ・データベース(ntds.dit)やWindowsOS内部の暗号鍵データ(DPAPI)、Windowsイベントログ等にアクセスしました。続いて攻撃者はChromeおよびEdgeからクレデンシャル等の機密データを抽出しました。

アトリビューション

ゼロデイ脆弱性CVE-2024-3400を発見したリサーチャーは、一連の攻撃を単一の脅威アクターUTA0218によるものと推定しています。
既知の脅威アクター・APTとUTA0218とを結びつけることはできなかったものの、脆弱性を調査しエクスプロイトを開発するためのリソース規模や、標的となった被害組織、攻撃が及ぼしたインパクト等を総合すると、特定の国家が支援している可能性が強いと結論付けられました。

 

 

推奨策

Cognyteは、ベンダーが示す推奨策(緊急パッチ等)をPalo Alto Networks該当製品に適用することを推奨します。
また、以下に示すIoCおよびYARAルールを自組織のセキュリティシステムに反映させることを推奨します。

 

IoC

型式 攻撃ツール
MD5 0c1554888ce9ed0da1583dbdf7b31651 UPSTYLE(バックドア)
SHA-1 988fc0d23e6e30c2c46ccec9bbff50b7453b8ba9 UPSTYLE
SHA-256 3de2a4392b8715bad070b2ae12243f166ead37830f7c6d24e778985927f9caac UPSTYLE
SHA-256 5460b51da26c060727d128f3b3d6415d1a4c25af6a29fef4cc6b867ad3659078 UPSTYLE
URL 172.233.228.93 UPSTYLE
MD5 d31ec83a5a79451a46e980ebffb6e0e8 PATCH(ダウンローダー
SHA-1 a7c6f264b00d13808ceb76b3277ee5461ae1354e PATCH
SHA-256 35a5f8ac03b0e3865b3177892420cb34233c55240f452f00f9004e274a85703c PATCH
MD5 a43e3cf908244f85b237fdbacd8d82d5 POLICY
SHA-1 e1e427c9b46064e2b483f90b13490e6ef522cc06 POLICY
SHA-256 755f5b8bd67d226f24329dc960f59e11cb5735b930b4ed30b2df77572efb32e8 POLICY
MD5 5e4c623296125592256630deabdbf1d2 POLICY
SHA-1 d12b614e9417c4916d5c5bb6ee42c487c937c058 POLICY
SHA-256 adba167a9df482aa991faaa0e0cde1182fb9acfbb0dc8d19148ce634608bab87 POLICY
MD5 87312a7173889a8a5258c68cac4817bd POLICY
SHA-1 3ad9be0c52510cbc5d1e184e0066d14c1f394d4d POLICY
SHA-256 c1a0d380bf55070496b9420b970dfc5c2c4ad0a598083b9077493e8b8035f1e9 POLICY
MD5 b9f5e9db9eec8d1301026c443363cf6b POLICY
SHA-1 d7a8d8303361ffd124cb64023095da08a262cab4 POLICY
SHA-256 fe07ca449e99827265ca95f9f56ec6543a4c5b712ed50038a9a153199e95a0b7 POLICY
MD5 12b5e30c2276664e87623791085a3221 POLICY
SHA-1 f99779a5c891553ac4d4cabf928b2121ca3d1a89 POLICY
SHA-256 96dbec24ac64e7dd5fef6e2c26214c8fe5be3486d5c92d21d5dcb4f6c4e365b9 POLICY
MD5 724c8059c150b0f3d1e0f80370bcfe19 POLICY
SHA-1 5592434c40a30ed2dfdba0a86832b5f2eaaa437c POLICY
SHA-256 e315907415eb8cfcf3b6a4cd6602b392a3fe8ee0f79a2d51a81a928dbce950f8 POLICY

YARAルール

rule apt_malware_py_upstyle : UTA0218
{
meta:
author = "threatintel@volexity.com"
date = "2024-04-11"
description = "Detect the UPSTYLE webshell."
hash1 = "3de2a4392b8715bad070b2ae12243f166ead37830f7c6d24e778985927f9caac"
hash2 = "0d59d7bddac6c22230187ef6cf7fa22bca93759edc6f9127c41dc28a2cea19d8"
hash3 = "4dd4bd027f060f325bf6a90d01bfcf4e7751a3775ad0246beacc6eb2bad5ec6f"
os = "linux"
os_arch = "all"
report = "TIB-20240412"
scan_context = "file,memory"
last_modified = "2024-04-12T13:05Z"
license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
rule_id = 10429
version = 2

strings:
$stage1_str1 = "/opt/pancfg/mgmt/licenses/PA_VM"
$stage1_str2 = "exec(base64."
$stage2_str1 = "signal.signal(signal.SIGTERM,stop)"
$stage2_str2 = "exec(base64."
$stage3_str1 = "write(\"/*\"+output+\"*/\")"
$stage3_str2 = "SHELL_PATTERN"
condition:
all of ($stage1*) or
all of ($stage2*) or
all of ($stage3*)
}

参考ソース


記事に関するご意見・お問い合わせはこちらへお寄せください。
(SOMPOホールディングス、損害保険ジャパンなどグループ各社へのお問い合わせはご遠慮下さい)

  • LINEで送る
  • このエントリーをはてなブックマークに追加