Rilevamento CVE-2024-3400: Vulnerabilità Zero-Day di Iniezione di Comandi di Massima Gravità in PAN-OS nel Software GlobalProtect

Una nuova vulnerabilità zero-day di iniezione di comandi nel software GlobalProtect di Palo Alto Networks PAN-OS fa notizia. Il difetto altamente critico, identificato come CVE-2024-3400, è già stato sfruttato in una serie di attacchi in-the-wild.

Rilevare Tentativi di Sfruttamento di CVE-2024-3400

Il numero di vulnerabilità utilizzate per attacchi in-the-wild aumenta enormemente ogni anno, con oltre 30.000 nuovi difetti scoperti solo nel 2023. Questo rende il Rilevamento dello Sfruttamento delle Vulnerabilità uno dei casi d’uso più in voga nella cybersecurity. Per aiutare i difensori informatici ad affrontare tempestivamente le minacce emergenti e a difendersi proattivamente, SOC Prime Platform per la difesa informatica collettiva offre un suite completa di prodotti per l’Ingegneria della Rilevazione basata su AI, la Caccia Automatica alle Minacce e la Validazione dello Stack di Rilevazione.

Supportati dalla più grande libreria di algoritmi Detection-as-Code del mondo, che affronta qualsiasi attacco informatico o minaccia emergente sotto un SLA di 24 ore, i professionisti della sicurezza possono identificare senza problemi attività dannose e semplificare l’indagine per individuare intrusioni nelle fasi iniziali.

In vista dello sfruttamento attivo di una vulnerabilità zero-day critica che impatta i firewall di Palo Alto Networks, il team SOC Prime ha creato un set di algoritmi di rilevamento per identificare i possibili tentativi di sfruttamento di CVE-2024-3400 basati sul PoC disponibile.

Possibile Tentativo di Sfruttamento di CVE-2024-3400 (Vulnerabilità di Iniezione di Comandi Palo Alto PAN-OS)

Entrambe le regole del set sono compatibili con 28 tecnologie SIEM, EDR e Data Lake e mappate al® framework MITRE ATT&CK v14.1. Inoltre, le rilevazioni sono arricchite con metadati estensivi e CTI dettagliato.

Per rimanere aggiornati e non perdere aggiornamenti preziosi, i difensori informatici possono controllare nuove regole rilevanti che affrontano gli sfruttamenti di CVE-2024-3400 premendo il Esplora Rilevazioni bottone qui sotto.

Esplora Rilevazioni

Analisi CVE-2024-3400

Una nuova critica CVE-2024-3400 vulnerabilità zero-day nei Firewall di Palo Alto Networks viene messa in evidenza con il punteggio CVSS più alto di 10.0. La vulnerabilità di iniezione di comandi scoperta colpisce specifiche versioni di PAN-OS (10.2, 11.0, e 11.1) insieme a determinate configurazioni di funzionalità. Tuttavia, Cloud NGFW, gli appliance Panorama e Prisma Access non sono entro il campo di impatto di CVE-2024-3400.

Secondo il avviso del fornitore, se vengono soddisfatte certe condizioni per lo sfruttamento, la vulnerabilità potrebbe potenzialmente consentire l’esecuzione di codice arbitrario con privilegi di root sul firewall. Le patch per CVE-2024-3400 sono state rese disponibili per alcune versioni impattate a partire dal 14 aprile 2024.

Palo Alto Networks afferma che CVE-2024-3400 può essere sfruttato in-the-wild in una serie di attacchi informatici. I ricercatori di Volexity tengono traccia degli avversari correlati sotto l’alias UTA0218. Gli aggressori possono armare il difetto all’interno di GlobalProtect sfruttando a distanza il dispositivo firewall, stabilendo una reverse shell e scaricando strumenti aggiuntivi sul dispositivo compromesso, come un’utilità di tunneling basata su Golang chiamata GOST.

Nel corso dell’indagine su CVE-2024-3400, Volexity ha osservato tentativi degli aggressori di impiantare una backdoor Python, chiamata UPSTYLE, sul firewall. Il malware facilita l’esecuzione di comandi supplementari sul dispositivo tramite richieste di rete accuratamente strutturate.

Dopo uno sfruttamento riuscito di CVE-2024-3400, gli avversari UTA0218 scaricano un toolkit offensivo aggiuntivo dai loro server remoti per estendere ulteriormente l’infezione. Applicano movimento laterale, procedono conl’estrazione di dati sensibili e potenzialmente si affidano ad attività di ricognizione per rilevare sistemi esposti agli attacchi.

Come passi di mitigazione per CVE-2024-3400, i difensori raccomandano di aggiornare prontamente la patch fornita dal fornitore. Il fornitore consiglia inoltre ai clienti con un abbonamento a Threat Prevention di sventare attacchi che sfruttano il difetto impiegando Threat ID 95187, 95189, e 95191 mentre si assicurano che le misure di protezione dalle vulnerabilità siano implementate. Palo Alto Networks ha anche creato un comando CLI specifico per permettere agli utenti di verificare immediatamente eventuali segni di intrusioni, che possono essere trovati nel avviso del fornitore correlato. 

Con la divulgazione pubblica del codice PoC di CVE-2024-3400 e i crescenti rischi di attacchi in-the-wild, la nuova vulnerabilità zero-day scoperta richiede un’ultra-reattività da parte dei difensori. L’ Attack Detective di SOC Prime offre una soluzione SaaS proattiva per ottimizzare continuamente i rischi della postura di sicurezza informatica dell’organizzazione, con validazione automatizzata dello stack di rilevazione e capacità avanzate di caccia alle minacce, consentendo ai team di investigare sugli incidenti piuttosto che su flussi infiniti di avvisi e di ridurre efficacemente i punti ciechi nella copertura di rilevamento.