黑客一直在利用 Palo Alto Networks 防火墙中的零日漏洞入侵企业或组织内部网络以窃取数据和凭证

据BleepingComputer消息，自 3 月 26 日以来，疑似受国家支持的黑客一直在利用 Palo Alto Networks 防火墙中的零日漏洞入侵企业或组织内部网络以窃取数据和凭证。该漏洞被追踪为 CVE-2024-3400。

由于该漏洞正被用于攻击，Palo Alto Networks 决定披露该漏洞并发布缓解措施，以便客户在补丁完成之前保护自己的设备。据悉，补丁已于 4 月 14 日发布。

发现该零日漏洞的 Volexity 公司在公布的报告中提供了更多细节，该公司以 UTA0218 为代号跟踪这一恶意活动，并根据开发和利用这种性质的漏洞所需的资源、该行为者所针对的受害者类型，以及安装 Python 后门和进一步访问受害者网络所显示的能力，评估认为 UTA0218 极有可能是受国家支持的攻击者在实施攻击。

Volexity 称，它于 2024 年 4 月 10 日首次在 Palo Alto Networks PAN-OS 的 GlobalProtect 功能中检测到零日漏洞利用，并向供应商通报了这一活动。第二天，Volexity 观察到另一起对同一零日漏洞进行了「相同的利用」，创建了一个反向Shell，回到攻击者的基础架构，并将更多有效载荷下载到设备上。

该公司的进一步调查表明，攻击者至少从 3 月 26 日开始利用 CVE-2024-3400 零日漏洞，但直到 4 月 10 日才部署有效载荷。

其中一个已安装的有效载荷是一个名为「Upstyle」的定制植入程序，专为 PAN-OS 设计，可作为后门在被入侵设备上执行命令。该后门通过一个 Python 脚本安装，该脚本会在”/usr/lib/python3.6/site-packages/system.pth “中创建一个路径配置文件。

根据 Python 文档，Python 使用路径配置文件为 sys.path 变量添加额外的目录，该变量用于搜索要加载的模块。但如果 .pth 文件以 Import 开头，后面跟着空格或制表符，那么每次 Python 启动时都会执行以下代码。

system.pth 文件就是 Upstyle 后门，Volexity 称它会监控网络服务器的访问日志，以提取要执行的 base64 命令。下图说明了 Upstyle 后门的运行方式。

pstyle后门运作方式

除后门外，Volexity 还观察到攻击者部署了其他有效载荷，以启动反向Shell、渗出 PAN-OS 配置数据、删除日志文件、部署名为 GOST 的 Golang 隧道工具。

Volexity还观察到攻击者转向内部网络以窃取敏感的 Windows 文件，如「活动目录数据库 (ntds.dit)、密钥数据 (DPAPI) 和 Windows 事件日志 (Microsoft-Windows-TerminalServices-LocalSessionManager%4Operational.evtx)」。

此外，攻击者还窃取了特定目标设备上的 Google Chrome 和 Microsoft Edge 文件，包括登录数据、Cookie 和本地状态。这些文件包含保存的凭据和身份验证 cookie，可能允许攻击者破坏其他设备。

Volexity 称有两种方法可用于检测 Palo Alto Networks 防火墙是否被入侵。其中一种方法目前仍在与 Palo Alto Networks 合作研究，因此还没有可共享的信息。

另一种方法则是：

• 生成技术支持文件，该文件可用于生成包含取证工件的日志，通过分析这些工件可检测到入侵行为。

• 监控Direct-to-IP HTTP 的网络活动、源于 GlobalProtect 设备的 SMB/RDP 连接、包含浏览器数据的 SMB 文件传输，以及从设备向 worldtimeapi[.]org/api/timezone/etc/utc 发送的 HTTP 请求。