Zero-day w Palo Alto wykorzystywany w atakach. Ponad 6000 niezałatanych podatnych instancji

Palo Alto Networks ujawniło usterkę 12 kwietnia i rozpoczęło wdrażanie poprawek kilka dni później. Niestety, jak to zwykle bywa, problem stał się celem sponsorowanych przez państwo cyberprzestępców, a po opublikowaniu kodu potwierdzającego koncepcję (PoC) jego wykorzystanie jeszcze wzrosło.

Podatność, oznaczona jako CVE-2024-3400 (wynik CVSS 10/10), jest opisywana jako wstrzyknięcie polecenia do funkcji GlobalProtect systemu operacyjnego PAN-OS działającego na urządzeniach Palo Alto Networks.

Według zaktualizowanego poradnika dostawcy usterka ma źródło w funkcji tworzenia dowolnego pliku i w określonych warunkach może zostać wykorzystana bez uwierzytelnienia do wykonania dowolnego kodu z uprawnieniami roota na podatnej na ataki zaporze sieciowej.

Początkowo Palo Alto stwierdziło, że podatne na ataki są tylko urządzenia ze skonfigurowaną funkcją bramy GlobalProtect i włączoną telemetrią urządzeń, i zalecało wyłączenie telemetrii urządzenia w ramach środka zaradczego.

Poprawiona wersja poradnika wskazuje jednak, że wyłączenie tej funkcji nie jest już uważane za skuteczne rozwiązanie. „Nie trzeba włączać telemetrii urządzenia, aby zapory sieciowe PAN-OS były narażone na ataki związane z tą luką” – zauważa producent.

W poście na blogu z 19 kwietnia firma wyjaśniła, że przyczyną CVE-2024-3400 są dwie wady systemu PAN-OS, które po połączeniu dają możliwość nieuwierzytelnionego zdalnego wykonywania poleceń powłoki.

Pierwszy błąd istniał, ponieważ usługa GlobalProtect nie weryfikowała w wystarczającym stopniu formatu identyfikatora sesji przed zapisaniem, co umożliwiało osobie atakującej wysłanie spreparowanego polecenia powłoki i utworzenie pustego pliku z osadzonym poleceniem jako nazwą pliku.

Drugi problem polegał na tym, że system operacyjny traktował plik jako wygenerowany przez siebie, co prowadziło do zaplanowanego zadania systemowego mającego na celu użycie nazwy pliku w poleceniu, a tym samym wykonanie polecenia dostarczonego przez osobę atakującą z podwyższonymi uprawnieniami.

O ile pomyślne wykorzystanie pierwszego błędu doprowadziłoby jedynie do utworzenia pustego pliku o określonej nazwie, wykorzystanie drugiego umożliwiłoby atakującym kradzież poufnych informacji lub wdrożenie złośliwego oprogramowania.

„Wysoce wyrafinowane ugrupowanie cyberprzestępcze odkryło, że łącząc w unikalny sposób te dwa błędy, może przeprowadzić dwuetapowy atak w celu wykonania polecenia na podatnym urządzeniu” – mówi Palo Alto Networks.

Producent zalecił wyłączenie telemetrii urządzenia, ponieważ uniemożliwiało to uruchomienie systemowego zadania „cron”, blokując w ten sposób wykonanie polecenia, ale później odkrył dodatkowe metody wykorzystania CVE-2024-3400, które nie wymagały włączenia telemetrii.

„Poprawka skutecznie usuwa dwa problemy w kodzie, które umożliwiły ujawnienie się tej luki. Po pierwsze identyfikatory sesji są odpowiednio sprawdzane przed zapisaniem. Po drugie kod umożliwiający wstrzykiwanie poleceń został przepisany przy użyciu technik programowania defensywnego” – podaje Palo Alto Networks.

Firma zauważa również, że sygnatury modułu „Zapobieganie zagrożeniom” opublikowane 11 kwietnia mogą w pełni blokować wszystkie znane podejrzane wzorce w identyfikatorach sesji, oraz że około 90% jej klientów zastosowało to rozwiązanie.

W piątek Shadowserver Foundation podało, że zaobserwowano ponad 22 000 potencjalnie podatnych na ataki instancji Palo Alto Networks GlobalProtect podłączonych do Internetu. Według stanu na 21 kwietnia dane organizacji zajmującej się bezpieczeństwem wskazują na około 6000 instancji potencjalnie podatnych na ataki.