Брандмауэры Palo Alto скомпрометированы изощренным бэкдором на Python

Posted on April 17, 2024
Хакеры эксплуатируют серьезную уязвимость в брандмауэрах Palo Alto Networks с марта 2024 года, используя изощренный бэкдор на Python для удаленного проникновения и управления системами. Эта кампания, обнаруженная экспертами по кибербезопасности из Volexity, связана с CVE-2024-3400 — критическим дефектом инъекции команд, который позволяет неаутентифицированным атакующим выполнять произвольный код с правами root. Эта уязвимость затрагивает устройства, работающие на версиях PAN-OS 10.2, 11.0 и 11.1 с включенными GlobalProtect и телеметрией.

Злоумышленники, отслеживаемые под кодовым именем UTA0218, смогли использовать эту уязвимость для установки настроенного бэкдора в системы своих целей. Этот бэкдор позволяет им выполнять различные вредоносные действия, включая выдачу команд, инициирование обратных оболочек и кражу конфиденциальных данных. Используемый в этих атаках скрипт Python умело манипулирует файлом конфигурации системы по адресу /usr/lib/python3.6/site-packages/system.pth, превращая его в канал для выполнения закодированных команд, извлеченных из журналов доступа веб-сервера.

Эти атаки были особенно разрушительны, позволяя хакерам получить доступ к внутренним сетям различных организаций. Они использовали свой доступ для извлечения критически важных файлов из сред Windows, включая базы данных Active Directory и данные браузеров Google Chrome и Microsoft Edge, компрометируя учетные данные пользователей и cookies. Обширность доступных данных подчеркивает серьезный риск, который этот бэкдор представляет для внутренней безопасности и целостности данных организаций.

Расследование Volexity показывает, что эти атаки, вероятно, спонсируются государством, учитывая их изощренность и характер целей. Использование бэкдора для обширной эксфильтрации данных и контроля над системой свидетельствует о высоком уровне возможностей и ресурсов злоумышленников. Palo Alto Networks ответила на угрозу, выпустив исправления для затронутых версий PAN-OS и планирует выпустить дополнительные патчи для других часто используемых версий.

Этот инцидент подчеркивает критическую важность поддержания актуальных практик безопасности, включая регулярные обновления и патчи, особенно для устройств, которые являются частью критической инфраструктуры организации. Он также выделяет постоянные вызовы в области кибербезопасности, где государственно поддерживаемые группы эксплуатируют высокоуровневые уязвимости для проведения шпионажа и потенциально дестабилизирующих атак.

Source: Red Hot Cyber

Чтобы смягчить потенциальные угрозы, важно реализовать дополнительные меры по обеспечению кибербезопасности с помощью надежного партнера, такого как INFRA www.infrascan.net, или вы можете попробовать сами, используя check.website.

Leave a Reply

Your email address will not be published. Required fields are marked *