Bugün erken saatlerde Palo Alto Networks, şirketin güvenlik duvarlarında kritik bir komut yerleştirme güvenlik açığının (CVE-2024-3400) bulunduğunu ortaya çıkardı.
Sınırlı sayıda saldırıda bulundu ve savunmasız cihazları olan müşterileri, azaltıcı önlemleri ve geçici çözümleri hızlı bir şekilde uygulamaya çağırdı.
Palo Alto Networks’ün Birim 42 ve Volexity, saldırılar, tehdit avlama sorguları, YARA kuralları ve uzlaşma göstergeleri hakkında daha fazla bilgi içeren tehdit özetlerini yayınladı.
PAN’ın içgörüleri
“Şu ana kadar analiz ettiğimiz bilinen istismarın tek bir tehdit aktörüyle sınırlı olduğunu yüksek bir güvenle değerlendirdiğimiz için, bu güvenlik açığının ilk istismarını MidnightEclipse Operasyonu adı altında takip ediyoruz. Ayrıca gelecekte başka tehdit aktörlerinin de istismar girişiminde bulunabileceğini değerlendiriyoruz.” Birim 42 araştırmacıları kayıt edilmiş.
Ayrıca saldırganların hedeflenen cihazlara yüklediği arka kapının nasıl çalıştığını, varlığını sürdürdüğünü ve varlığını gizlediğini açıkladılar ve Cortex XDR çözümünün müşterileri için tehdit avı sorgularını paylaştılar.
PAN da güncellendi “Bulut NGFW güvenlik duvarları etkilenmezken, bulutta müşteriler tarafından dağıtılan ve yönetilen güvenlik duvarı VM’lerinin belirli PAN-OS sürümleri ve farklı özellik yapılandırmaları etkileniyor.”
Volexity saldırıların boyutunu açıklıyor
Volexity tehdit araştırmacıları ayrıca, saldırganın özel hazırlanmış ağ istekleri aracılığıyla cihazda ek komutlar yürütmesine olanak tanıyan Python arka kapısını (UPSTYLE adı verilen) ayrıntılı olarak açıkladı. Saldırganlar ayrıca ters bir kabuk da oluşturdu.
Saldırıları ilk olarak 10 Nisan’da ağ güvenliği izleme (NSM) müşterilerinden birinde tespit ettiler, ardından ertesi gün başka bir müşteriye ikinci saldırıyı tespit ettiler.
“Volexity araştırmasını genişlettikçe, diğer birçok müşteri ve kuruluşta 26 Mart 2024’e kadar uzanan başarılı bir istismar keşfetti. Bu girişimler, istismar edilebilirliği doğrulamak için güvenlik duvarı cihazlarına sıfır baytlık dosyalar yerleştirerek güvenlik açığını test eden tehdit aktörü gibi görünüyor.” onlar da buldular.
“7 Nisan 2024’te Volexity, saldırganın müşterinin güvenlik duvarı cihazına arka kapı açmaya çalıştığını ve başarısız olduğunu gözlemledi. Üç gün sonra, 10 Nisan 2024’te, [the threat actor] Kötü amaçlı yükleri başarılı bir şekilde dağıtmak için güvenlik duvarı cihazlarından yararlanıldığı gözlemlendi. Volexity’nin 11 Nisan 2024’te gözlemlediği ikinci uzlaşma da neredeyse aynı stratejiyi izledi.”
Başarılı bir istismarın ardından saldırganlar, kurban kuruluşların ağları arasında yanal hareketlerini ve kimlik bilgileri ile dosyaların çalınmasını kolaylaştırmak için ek araçlar indirecektir.
“Bir vakada, Palo Alto güvenlik duvarı tarafından kullanılmak üzere yapılandırılmış bir hizmet hesabı ve etki alanı yöneticileri grubunun bir üyesi, saldırganlar tarafından SMB ve WinRM aracılığıyla etkilenen ağlar arasında dahili olarak gezinmek için kullanıldı” diye eklediler.
“[The threat actor]’nin ilk hedefleri, etki alanı yedekleme DPAPI anahtarlarını ele geçirmek ve NTDS.DIT dosyasını alarak aktif dizin kimlik bilgilerini hedeflemekti. Ayrıca, kayıtlı çerezleri ve oturum açma verilerini, ayrıca kullanıcıların DPAPI anahtarlarını çalmak için kullanıcı iş istasyonlarını da hedef aldılar.”
PAN müşterileri, cihazlarından kaynaklanan ağ trafiğini analiz ederek ve belirli ağ isteklerini arayarak (bkz. Blog yazısı). Tespit için ikinci bir yöntem ise hâlâ gizli.
“Palo Alto Network GlobalProtect güvenlik duvarı cihazınızın güvenliğinin ihlal edildiğini fark ederseniz hemen harekete geçmeniz önemlidir. Cihazı silmediğinizden veya yeniden oluşturmadığınızdan emin olun. Günlükleri toplamak, bir teknik destek dosyası oluşturmak ve cihazdaki adli bilişim eserlerini (bellek ve disk) korumak çok önemlidir” diye eklediler.
(Uzlaşmanın kanıtını bulamasanız bile, her ihtimale karşı düzeltmeyi uygulamadan önce bir teknik destek dosyası oluşturmak iyi bir fikirdir.)
“İç sistemleri analiz etmeye ve potansiyel yanal hareketleri izlemeye yönelik dönüş mümkün olan en kısa sürede yapılmalıdır. Ayrıca GlobalProtect güvenlik duvarı cihazında depolanmış olabilecek tüm kimlik bilgileri, sırlar veya diğer hassas veriler tehlikeye atılmış olarak değerlendirilmelidir. Tehdit analistleri, bunun şifre sıfırlamaları, sırların değiştirilmesini ve ek araştırmaları gerektirebileceğini belirtti.
Volexity, saldırılara karışan tehdit aktörünün büyük olasılıkla devlet destekli olduğunu, çünkü bu tür bir güvenlik açığının keşfedilmesi ve bu güvenlik açığından yararlanılması için önemli miktarda beceri ve kaynağa ihtiyaç duyulduğunu söylüyor. Hedef alınan mağdurların türü de bu yöne işaret ediyor.
Tehdit aktörünün önümüzdeki günlerde hedeflenen diğer kurbanların güvenlik duvarlarını tehlikeye atma çabalarını artırmasını, hafifletici önlemlerin ve yamaların devreye girmesinin önüne geçmesini bekliyorlar; bu nedenle hızlı hareket etmek çok önemli.
