CERT-alert: Dreigingsniveau 5/5 - CVE-2024-3400: kritieke 0day in Palo Alto's GlobalProtect-gateway wordt in het wild misbruikt
1. Analyse
Bijgewerkt op : 2024-04-17 08:47:59
Bijgewerkt op: 2024-04-17 08:47:59
Update 2, 17/04/2024 - CVE-2024-3400 wijdverspreid uitgebuit door opportunistische aanvallers nadat WatchTowr en Rapid7 PoC hebben vrijgegeven
Zoals we verwachtten, slaagden vulnerability researchers erin om binnen minder dan 3 dagen de kwetsbaarheid binnen GlobalProtect te identificeren en een werkende PoC te maken om deze te benutten tegen Palo Alto VPN-SSL-oplossingen. WatchTowr heeft gisteren een blogpost gepubliceerd waarin ze onthullen hoe ze een path traversal en file write probleem hebben geïdentificeerd dat leidt tot command injection en ze hebben publiekelijk een PoC verstrekt over hoe een commando te injecteren, met behulp van een eenvoudig POST-verzoek naar het ".../ssl-vpn/hipreport.esp" eindpunt. Deze PoC maakt het mogelijk om het commando binnen een SESSID-cookie in te voegen, waardoor uiteindelijk een bestand zoals een webshell wordt gedropt, via een cronjob die de bestanden crawlt op .../opt/panlogs/tmp/device_telemetry/minute/ (of .../hour/ of .../day).
Een andere eenvoudige PoC gebaseerd op het artikel van WatchTowr werd bovendien snel gedeeld op GitHub, gebaseerd op een ander artikel van Rapid7 dat ook gisteren werd vrijgegeven hier. TrustedSec vermeldde op X dat ze binnen enkele minuten ‘in-the-wild’ aanvallen hebben waargenomen die misbruik maken van de openbare PoC's. ShadowServer bevestigde ook aanvallen te zien tegen hun honeypots, wat betekent dat een grotere exploitatiecampagne door opportunistische tegenstanders is begonnen.
Herinnering: Alle andere eerdere PoC's die eerder dit weekend zijn gepubliceerd, bleken nep te zijn, en soms zelfs kwaadaardig (d.w.z. die backdoors bevatten).
We verwachten dat alle blootgestelde kwetsbare instanties in de komende uren worden aangevallen.
Tot slot bekritiseerde een Amerikaanse beveiligingsconsultant op X de ontoereikende audit van Palo Alto-oplossingen door een door de overheid geaccrediteerde instantie National Information Assurance Partnership. De test bevestigt alleen of de oplossing robuust genoeg is tegen tegenstanders met "Basic Attack Potential".
Ontwikkeling van risico's en aanbevelingen:
Het risiconiveau is verhoogd naar het maximale niveau 5/5, omdat Palo Alto gelooft dat de meest eenvoudige mitigatie (het uitschakelen van telemetrie) niet langer voldoende is om te beschermen tegen de aanval. Hun advies werd inderdaad bijgewerkt om deze nieuwe bevinding op maandagavond te vermelden. De leverancier raadt nu alle klanten aan om zo snel mogelijk te patchen met de uitgebrachte hotfixes (of configureer Threat Prevention-handtekeningen "Threat ID 95187, 95191 en 95189"). Deze kritieke wijziging in de werkende mitigaties (en mogelijk de nieuwe Threats ID) kan zijn om pogingen tot het triggeren van commando-uitvoering te blokkeren door het apparaat te overspoelen met verzoeken wanneer de telemetrie is uitgeschakeld, zoals vermeld door een anonieme bron op Reddit hier.
Bovendien heeft de leverancier aanvullende IOCs (Indicators of Compromise) en CLI-commando's gedeeld om naar te zoeken in een update van hun Threat Brief hier. Er wordt niet gedacht dat deze indicatoren zijn gekoppeld aan de oorspronkelijke dreigende actor achter de 0day-exploit, maar aan recente pogingen die aan hun kant zijn geïdentificeerd om te controleren of een instantie kwetsbaar is voor de fout of niet. Alles is toegevoegd aan ons Datalake-opslagplaats dat wordt gebruikt door onze Managed Threat Detection en Managed Threat Intelligence services.
Gisteren heeft Onyphe een specifieke query gemaakt om passief de versie van een GlobalProtect-apparaat te identificeren, met behulp van ETag van deze open source-scanner, die we dit weekend al hebben getest. Deze scanner identificeert inderdaad correct de huidige versie van een blootgesteld apparaat, maar kan niet achterhalen of de instantie de telemetriefunctie heeft ingeschakeld of niet (en dus kwetsbaar is of niet). Dit kan u echter mogelijk helpen bevestigen of een instantie de benodigde patch al heeft ontvangen of niet. Dit helpt helaas ook tegenstanders bij het opstellen van een lijst van "mogelijk kwetsbare" servers om prioriteit aan te geven bij het targeten.
Een nieuwe EmergingThreats Suricata-regel (zie onze Overige in Bijlage) is uitgebracht om het gebruik van de WatchTowr PoC te detecteren. Bewijs van lopende pogingen wordt gevonden in verschillende logs, zoals vermeld door Rapid7, inclusief in .../var/log/pan/device_telemetry_send.log
Bijgewerkt op: 2024-04-15 11:05:09
Update 1, 15/04/2024 - Operatie MidnightEclipse gedetailleerd, patches voor Palo Alto's GlobalProtect 0day CVE-2024-3400 beschikbaar
Zoals beloofd is Palo Alto op 14 april begonnen met het uitbrengen van de eerste patches voor de kritieke 0day CVE-2024-3400 , die vermoedelijk wordt uitgebuit door UTA0178, een Chinese dreigingsacteur die medio januari al talloze Ivanti Connect Secure VPN-instanties heeft gecompromitteerd via een reeks 0days. Er zijn tot nu toe 3 fixes beschikbaar zoals uitgelegd in de advisory hier, voor de onderstaande getroffen branches:
- PAN-OS 10.2: 10.2.9-h1 (Released 4/14/24)
- PAN-OS 11.0: 11.0.4-h1 (Released 4/14/24)
- PAN-OS 11.1: 11.1.2-h3 (Released 4/14/24)
Andere getroffen versies zullen patches ontvangen in de loop van deze week, tot 19 april (zie gedetailleerd tijdschema in de bijlagen).
De angst dat tegenstanders nog een massa-compromittering zouden organiseren in het weekend is tot nu toe niet uitgekomen. Veel organisaties gingen op jacht naar een compromis zonder er een te ontdekken, wat betekent dat de campagne die door Palo Alto MidnightEclipse wordt genoemd tot nu toe vrij gericht blijft.
Volgens het artikel van Volexity heeft de tegenstander zich binnen meer interne systemen gepivoteerd nadat ze roottoegang tot de firewall hadden gekregen via de kwetsbaarheid, met behulp van een nog nooit eerder gezien Python-achterdeur genaamd "update.py", door het incidentresponsbedrijf UPSTYLE. Aanvullende payloads werden gedownload naar de firewall, zoals een omgekeerde proxytool of bekende post-exploitatie frameworks, om uiteindelijk gevoelige firewallconfiguraties naar door de tegenstander gecontroleerde servers te exfiltreren. Het tijdschema van de aanval geïdentificeerd door Volexity toont aan dat de vroegste pogingen werden gedetecteerd op 26 maart, en een deel van de infrastructuur dateert van een tweede campagne gelanceerd op 7 april. Tegelijkertijd deelde Palo Alto hun eigen analyse van de aanval hier, waarbij de IOCs en TTPs genoemd door Volexity werden bevestigd.
Raar genoeg bleef een deel van de kwaadaardige MidnightEclipse-infrastructuur afgelopen vrijdag online, zelfs nadat Palo Alto en Volexity technische blogposts over de zaak hadden gepubliceerd, waardoor de Python-achterdeur nog steeds online gehost werd en downloadbaar was door beveiligingsonderzoekers. Het betekent óf dat de tegenstanders niet erg nauwlettend volgen wat er publiekelijk over hen wordt vrijgegeven en/of dat ze niet langer in staat zijn om de server te beheren die wordt gebruikt om deze payload te hosten.
Er is momenteel geen bevestigde PoC openbaar beschikbaar, maar valse circuleerden snel dit weekend op X en GitHub. We verwachten dat sommige geavanceerde kwetsbaarheidsonderzoekers zullen identificeren hoe ze de 0day kunnen benutten nu de patches zijn vrijgegeven door de leverancier via "patch diffing".
Echter blijft het risiconiveau dat aan deze opinie is verbonden, voor ons 4 van de 5.
Aanbevelingen:
We adviseren u bewijs van een mogelijke eerdere compromis te bewaren, maar snel de verstrekte mitigatie toe te passen en/of idealiter te patchen indien deze al beschikbaar is voor uw versie.
Alle GlobalProtect-instanties die rechtstreeks worden beheerd door OCD, werden vorige week onderzocht en de officiële Palo Alto-mitigatie werd zo snel mogelijk toegepast.
Daarnaast werd er proactief gejaagd op netwerkgerelateerde IOC's die werden gedeeld door Volexity en Palo Alto, dankzij onze Datalake threat intelligence database die voortdurend werd bijgewerkt met nieuwe relevante IOC's.
Volexity heeft ook een Yara-regel gedeeld (beschikbaar in Bijlagen) die geïntegreerd zou moeten worden in uw beveiligingssystemen om de detectie waarschijnlijkheid van een aanval te vergroten. IDS-regels zijn ook beschikbaar voor Suricata zoals hier vermeld.
Het Datalake-platform van Orange Cyberdefense biedt toegang tot Indicators of Compromise (IoCs) met betrekking tot deze dreiging, die automatisch worden ingevoerd in onze Managed Threat Detection services. Dit maakt proactief jagen op IoCs mogelijk als u zich abonneert op onze Managed Threat Detection service wat ook Threat Hunting omvat. Als u wilt dat we deze IoCs prioriteit geven bij uw volgende jacht, kunt u een verzoek indienen via uw MTD-klantenportaal of contact opnemen met uw vertegenwoordiger.
Orange Cyberdefense's BlackLake-service biedt de mogelijkheid om netwerkgerelateerde IoCs automatisch in uw beveiligingsoplossingen in te voeren. Om meer te weten te komen over deze service en om te ontdekken welke firewall-, proxy- en andere leveranciersoplossingen worden ondersteund, kunt u contact opnemen met uw Orange Cyberdefense Trusted Solutions-vertegenwoordiger.
Initiële waarschuwing op: 2024-04-12 14:01:55
1.1 Executive summary
Er is een nieuwe kwetsbaarheid geïdentificeerd in de GlobalProtect-firewall van Palo Alto Networks. Bekend als CVE-2024-3400 (link naar het beveiligingsadvies voor onze klanten), wordt deze kwetsbaarheid als kritiek beschouwd en heeft een severity score CVSSv4.0 van 10 van de 10. Door hier misbruik van te maken, kan een externe aanvaller willekeurige code uitvoeren met rootprivileges op de firewall.
Palo Alto is op de hoogte van actieve, gerichte exploitatie ‘in-the-wild’. En Volexity gelooft dat het mogelijk wordt gebruikt door een aantal van dezelfde Chinese dreigingsactoren achter de Ivanti Connect Secure 0days.
1.2 Wat u zult horen
Een 0day met een CVSSv4-score van 10 is geïdentificeerd in Palo Alto Networks' GlobalProtect (PAN-OS).
1.3 Wat het betekent
De kwetsbaarheid stelt een aanvaller op afstand in staat om willekeurige code uit te voeren met rootrechten op de firewall en is in het wild uitgebuit. De kwetsbaarheid treft specifiek de GlobalProtect gateway en kan alleen worden misbruikt als telemetrie is ingeschakeld en de PAN-OS versie nieuwer is dan 10.2.
Volexity, dat de Ivanti 0days al in januari heeft geïdentificeerd, zit achter deze ontdekking en heeft aangekondigd later details openbaar te maken. Op dit moment zijn er geen details over de kwetsbaarheid beschikbaar.
Volgens Censys moet worden opgemerkt dat momenteel ongeveer 40.000 GlobalProtect-servers blootgesteld zijn op het internet. Er is op dit moment geen patch beschikbaar, maar officiële mitigatie kan compromis voorkomen totdat fixes openbaar worden gemaakt.
We classificeren het dreigingsniveau van deze waarschuwing als 4 van de 5, omdat er nog geen massale exploitatie is bevestigd.
1.4 Wat u moet doen
Palo Alto plant een fix uit te brengen op 4/14 en heeft in de tussentijd al enkele mitigatiemaatregelen gepubliceerd:
• Voor "Threat Prevention" abonnementen, activeer "Threat ID 95187"
• Anders moet u het telemetrie-widget in het Device-panel uitschakelen.
2. Appendices:
Bijgewerkt op : 2024-04-17 08:47:56
2.1 External links
WatchTowr: https://labs.watchtowr.com/palo-alto-putting-the-protecc-in-globalprotect-cve-2024-3400/
PoC: https://twitter.com/HackingLZ/status/1780239802496864474
Rapid7: https://attackerkb.com/topics/SSTk336Tmf/cve-2024-3400/rapid7-analysis
ShadowServer: https://twitter.com/Shadowserver/status/1780266724262125790
Updated Palo advisory : https://security.paloaltonetworks.com/CVE-2024-3400
Updated Palo threat brief: https://unit42.paloaltonetworks.com/cve-2024-3400/#midnightadditionalobs
2.2 Orange Cyberdefense links
n/a
2.3 IOCs
Our Managed Threat Intelligence [detect] clients can directly consult and consume the IOCs from this address on our Datalake platform:
If you’re interested to know more about this OCD managed service, please reach us at team[AT]cert.orangecyberdefense.com, indicating you’re a World Watch beneficiary.
2.4 Other
2.4 Other
Scanner:
https://github.com/noperator/panos-scanner
IDS rule (ET OPEN):
alert http any any -> $HOME_NET any (msg:"ET WEB_SPECIFIC_APPS Palo Alto GlobalProtect Session Cookie Command Injection Attempt (CVE-2024-3400)"; flow:established,to_server; http.cookie; content:"SESSID="; startswith; content:"/opt/panlogs/tmp/device_telemetry/"; within:80; fast_pattern; content:"|60|"; within:21; content:"|24 7b|IFS|7d|"; within:30; reference:cve,2024-3400; reference:url,labs.watchtowr.com/palo-alto-putting-the-protecc-in-globalprotect-cve-2024-3400/; classtype:trojan-activity; sid:1; rev:1;)
2.5 mainCategory
mainCategory=Vulnerability
Updated on : 2024-04-15 11:05:06
2.1 External links
Update 1, 15/04/2024 - Operation MidnightEclipse detailed, patches for Palo Alto's GlobalProtect 0day CVE-2024-3400 available
Palo Alto:
2.2 OCD links
2.3 IOCs
Our Managed Threat Intelligence [detect] clients can directly consult and consume the IOCs from this address on our Datalake platform:
https://datalake.cert.orangecyberdefense.com/gui/search?query_hash=0ac2b1347866609c800d4e834a50864f
If you’re interested to know more about this OCD managed service, please reach us at team[AT]cert.orangecyberdefense.com, indicating you’re a World Watch beneficiary.
2.4 Other
Upcoming patch release:
- 10.2.8-h3 (ETA: 4/15/24)
- 10.2.7-h8 (ETA: 4/15/24)
- 10.2.6-h3 (ETA: 4/15/24)
- 10.2.5-h6 (ETA: 4/16/24)
- 10.2.3-h13 (ETA: 4/17/24)
- 10.2.1-h2 (ETA: 4/17/24)
- 10.2.2-h5 (ETA: 4/18/24)
- 10.2.0-h3 (ETA: 4/18/24)
- 10.2.4-h16 (ETA: 4/19/24)
- 11.0.3-h10 (ETA: 4/15/24)
- 11.0.2-h4 (ETA: 4/16/24)
- 11.0.1-h4 (ETA: 4/17/24)
- 11.0.0-h3 (ETA: 4/18/24)
- 11.1.1-h1 (ETA: 4/16/24)
- 11.1.0-h3 (ETA: 4/17/24)
Yara rule:
rule apt_malware_py_upstyle : UTA0218
{
meta:
author = "threatintel@volexity.com"
date = "2024-04-11"
description = "Detect the UPSTYLE webshell."
hash1 = "3de2a4392b8715bad070b2ae12243f166ead37830f7c6d24e778985927f9caac"
hash2 = "0d59d7bddac6c22230187ef6cf7fa22bca93759edc6f9127c41dc28a2cea19d8"
hash3 = "4dd4bd027f060f325bf6a90d01bfcf4e7751a3775ad0246beacc6eb2bad5ec6f"
os = "linux"
os_arch = "all"
report = "TIB-20240412"
scan_context = "file,memory"
last_modified = "2024-04-12T13:05Z"
license = "See license at https://github.com/volexity/threat-intel/blob/main/LICENSE.txt"
rule_id = 10429
version = 2
strings:
$stage1_str1 = "/opt/pancfg/mgmt/licenses/PA_VM"
$stage1_str2 = "exec(base64."
$stage2_str1 = "signal.signal(signal.SIGTERM,stop)"
$stage2_str2 = "exec(base64."
$stage3_str1 = "write(\"/*\"+output+\"*/\")"
$stage3_str2 = "SHELL_PATTERN"
condition:
all of ($stage1*) or
all of ($stage2*) or
all of ($stage3*)
}
2.5 mainCategory
mainCategory=Vulnerability
Initial alert on: 2024-04-12 14:01:55
2.1 External links
Palo Alto: https://security.paloaltonetworks.com/CVE-2024-3400
2.2 OCD links
World Watch: Ivanti: https://portal.cert.orangecyberdefense.com/worldwatch/839001
Vuln Intelligence Watch: ttps://portal.cert.orangecyberdefense.com/vulns/61891
Our Managed Vulnerability Intelligence [watch] clients can directly consult the advisory including all the details related to this vulnerability from this address on our Threat Defense Center portal. If you’re interested to know more about this OCD managed service, please reach us at team[AT]cert.orangecyberdefense.com, indicating you’re a World Watch beneficiary.
2.3. IOCs
n/a
2.4. Other
n/a
2.5 mainCategory
mainCategory=Vulnerability
You may access to this World Watch report on the Threat Defense Center Extranet portal by following the below link :
https://portal.cert.orangecyberdefense.com/worldwatch/885697.