Un actor de amenaza desconocido ha estado explotando una vulnerabilidad zero-day, CVE-2024-3400, en el software Palo Alto Networks PAN-OS desde el 26 de marzo de 2024. La vulnerabilidad de seguridad afecta solo a PAN-OS 10.2, PAN-OS 11.0 y PAN-OS 11.1, con el gateway GlobalProtect y la telemetría del dispositivo habilitados. La Operación MidnightEclipse es el nombre otorgado por la división Unit 42 de la empresa de seguridad de red que está monitoreando la actividad. Aparentemente, los atacantes se valieron de la falla para crear una tarea cron que busca comandos alojados en un servidor externo y que se ejecutan mediante el shell de bash. Se cree que los atacantes administraron manualmente una lista de control de acceso (ACL) para el servidor de control y comando (C2) para asegurarse de que solo se pueda acceder desde el dispositivo que se comunica con él.\
Además, se ha descubierto que los atacantes han utilizado archivos legítimos asociados con el firewall para extraer los comandos y escribir los resultados. Los expertos en seguridad también han identificado la presencia de una puerta trasera basada en Python en el firewall, la cual se rastrea como UPSTYLE y se aloja en un servidor diferente. El objetivo principal de la campaña de ataque es evitar dejar rastros de las salidas de comandos, lo que obliga a que los resultados sean extraídos en 15 segundos antes de que se sobrescriba el archivo. La gravedad del ataque llevó a la Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) a agregar la falla a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), y se espera que Palo Alto Networks lance correcciones para la falla a más tardar el 14 de abril. Por ahora, se recomienda a las organizaciones que busquen señales de movimiento lateral interno desde sus dispositivos de firewall Palo Alto Networks GlobalProtect. En general, este ataque destaca que los dispositivos de borde siguen siendo un vector popular de ataque para los actores de amenazas capaces que tienen el tiempo y los recursos para invertir en la investigación de nuevas vulnerabilidades.
Vía The Hacker News
