CVE-2024-3400-Erkennung: Eine schwerwiegendste Befehlsinjektions-PAN-OS-Zero-Day-Schwachstelle in der GlobalProtect-Software
Inhaltsverzeichnis:
Eine neuartige Zero-Day-Schwachstelle für Kommando-Injection in der GlobalProtect-Funktion der Palo Alto Networks PAN-OS-Software macht Schlagzeilen. Die hochkritische Schwachstelle, identifiziert als CVE-2024-3400, wurde bereits in einer Reihe von Angriffen in freier Wildbahn ausgenutzt.
Erkennung von CVE-2024-3400-Ausbeutungsversuchen
Die Anzahl der Schwachstellen, die für Angriffe in freier Wildbahn genutzt werden, steigt jährlich enorm, wobei allein im Jahr 2023 über 30.000 neue Schwachstellen entdeckt wurden. Dies macht die Erkennung von Schwachstellenausbeutungen zu einem der angesagtesten Anwendungsfälle der Cybersicherheit. Um Cyberverteidigern dabei zu helfen, aufkommende Bedrohungen rechtzeitig zu adressieren und proaktiv zu verteidigen, bietet die SOC Prime Plattform für kollektive Cyberverteidigung eine komplette Produktsuite für KI-gestützte Detection Engineering, automatisierte Bedrohungsjagd und Detection Stack Validierung.
Unterstützt von der weltweit größten Detection-as-Code-Bibliothek von Algorithmen, die jede Cyberattacke oder aufkommende Bedrohung unter einem 24-Stunden-SLA adressieren, können Sicherheitsexperten nahtlos bösartige Aktivitäten identifizieren und die Untersuchung optimieren, um Eindringlinge in den frühesten Phasen zu erkennen.
Angesichts der aktiven Ausnutzung einer kritischen Zero-Day-Schwachstelle, die Palo Alto Networks Firewalls betrifft, hat das SOC Prime Team eine Reihe von Erkennungsalgorithmen erstellt, um mögliche CVE-2024-3400-Ausbeutungsversuche basierend auf dem verfügbaren PoC zu identifizieren.
Möglicher CVE-2024-3400 (Palo Alto PAN-OS Kommando-Injection-Schwachstelle) Ausbeutungsversuch
Beide Regeln im Set sind mit 28 SIEM-, EDR- und Data-Lake-Technologien kompatibel und mit dem MITRE ATT&CK® Framework v14.1 abgebildet. Zudem sind die Erkennungen mit umfangreichen Metadaten und detaillierten CTI angereichert.
Um auf dem neuesten Stand zu bleiben und wertvolle Updates nicht zu verpassen, können Cyberverteidiger nach neuen relevanten Regeln suchen, die CVE-2024-3400-Ausnutzungen adressieren, indem sie den Knopf Erkennungen erkunden unten drücken.
CVE-2024-3400-Analyse
Eine neuartige kritische CVE-2024-3400 Zero-Day-Schwachstelle in Palo Alto Networks Firewalls rückt mit der höchsten CVSS-Wertung von 10,0 in den Fokus. Die aufgedeckte Kommando-Injection-Schwachstelle betrifft bestimmte PAN-OS-Versionen (10.2, 11.0 und 11.1) sowie bestimmte Funktionskonfigurationen. Allerdings sind Cloud NGFW, Panorama-Appliances und Prisma Access nicht im CVE-2024-3400-Einflussbereich enthalten.
Gemäß dem Hersteller-Bericht, wenn bestimmte Ausnutzungsbedingungen erfüllt sind, könnte die Schwachstelle potenziell die Ausführung von beliebigem Code mit Root-Rechten auf der Firewall ermöglichen. Patches für CVE-2024-3400 sind für einige betroffene Versionen ab dem 14. April 2024 verfügbar gemacht worden.
Palo Alto Networks erklärt, dass CVE-2024-3400 in freier Wildbahn in einer Reihe von Cyberangriffen ausgenutzt werden kann. Volexity-Forscher verfolgen verwandte Gegner unter dem Alias UTA0218. Angreifer können die Schwachstelle ausnutzen innerhalb von GlobalProtect , indem sie das Firewall-Gerät remote ausnutzen, eine Reverse Shell etablieren und zusätzliche Werkzeuge auf das kompromittierte Gerät herunterladen, wie ein tunneling-Dienstprogramm namens GOST, dass in Golang geschrieben ist.
Im Verlauf der CVE-2024-3400-Untersuchung hat Volexity Versuche der Angreifer beobachtet, eine Python-Backdoor namens UPSTYLE auf der Firewall zu implantieren. Die Malware erleichtert die Ausführung zusätzlicher Befehle auf dem Gerät durch sorgfältig gestaltete Netzwerkanfragen.
Nach erfolgreicher CVE-2024-3400-Ausnutzung laden die UTA0218-Gegner ein zusätzliches offensives Toolkit von ihren Remote-Servern herunter, um die Infektion weiter zu verbreiten. Sie wenden seitliche Bewegungen an, fahren mit der Extraktion sensibler Daten fort und verlassen sich möglicherweise auf Aufklärungstätigkeiten, um Systeme zu erkennen, die Angriffen ausgesetzt sind.
Als CVE-2024-3400-Minderungsmaßnahmen empfehlen Verteidiger, den vom Hersteller bereitgestellten Patch umgehend zu aktualisieren. Der Hersteller rät auch Kunden mit einem Bedrohungspräventions-Abonnement, Angriffe, die die Schwachstelle ausnutzen, mithilfe der Bedrohungskennungen 95187, 95189 und 95191 zu verhindern, und dabei sicherzustellen, dass Schwachstellenschutzmaßnahmen implementiert wurden. Palo Alto Networks hat auch einen spezifischen CLI-Befehl entwickelt, mit dem Benutzer sofort nach Anzeichen von Eindringlingen suchen können, der im zugehörigen Herstellerbericht.Â
Mit der öffentlichen Offenlegung des CVE-2024-3400 PoC-Codes und den zunehmenden Risiken von Angriffen in freier Wildbahn erfordert die neu entdeckte Zero-Day-Schwachstelle eine äußerst schnelle Reaktion der Verteidiger. SOC Prime’s Attack Detective bietet eine proaktive SaaS-Lösung, um die Cybersicherheitslage der Organisation kontinuierlich zu optimieren, mit automatischer Validierung des Detection Stack und fortschrittlichen Funktionen zur Bedrohungsjagd, die es Teams ermöglichen, Vorfälle zu untersuchen, anstatt sich mit endlosen Warnströmen auseinanderzusetzen, und dabei blinde Flecken in der Erkennungseffizienz effizient zu reduzieren.
