CVE-2024-3400 検出: GlobalProtect ソフトウェアにおける最大深刻度のコマンドインジェクション PAN-OS ゼロデイ脆弱性

Palo Alto NetworksのPAN-OSソフトウェアのGlobalProtect機能における新たなコマンドインジェクションのゼロデイ脆弱性が注目を集めています。この非常に重要な欠陥はCVE-2024-3400として識別されており、すでに現実の攻撃で利用されています。

CVE-2024-3400の悪用試行を検出する

現実の攻撃で悪用されている脆弱性の数は毎年大幅に増加しており、2023年だけで3万件以上の新しい欠陥が発見されています。これにより、脆弱性の悪用検出はサイバーセキュリティの最も注目されているユースケースの1つとなっています。サイバー防御者が新たな脅威に迅速に対応し、積極的に防御できるようにするため、SOC Primeプラットフォームは集団サイバー防御のためにAI駆動の検出エンジニアリング、自動化された脅威ハンティング＆検出スタックバリデーションの完全な製品スイートを提供しています。

世界最大のDetection-as-Codeライブラリのアルゴリズムに裏付けられており、24時間のSLAであらゆるサイバー攻撃や新たな脅威に対応するこのプラットフォームにより、セキュリティ専門家は悪意のある活動をシームレスに識別し、調査を効率化して侵入を初期段階で検出することができます。

重要なゼロデイ脆弱性がPalo Alto Networksのファイアウォールに悪用されていることを受けて、SOC Primeチームは入手可能なPoCに基づいてCVE-2024-3400悪用試行を特定するための検出アルゴリズムのセットを作成しました。

可能性のあるCVE-2024-3400（Palo Alto PAN-OSコマンドインジェクション脆弱性）の悪用試行

セット内の両方のルールは、28のSIEM、EDR、およびデータレイク技術と互換性があり、MITRE ATT&CKフレームワークv14.1にマッピングされています。® さらに、検出は拡張されたメタデータと詳細なCTIで充実しています。

最新情報を逃さずに把握するため、サイバー防御者はCVE-2024-3400の悪用に対応する新たな適切なルールを下の「Explore Detections」ボタンをクリックして確認できます。 検出を探索 下のボタンを押してください。

検出を探索

CVE-2024-3400の分析

新たな重大な CVE-2024-3400 Palo Alto Networksのファイアウォールにおけるゼロデイ脆弱性が、10.0という最高のCVSSスコアで注目を集めています。このコマンドインジェクションの脆弱性は、特定のPAN-OSバージョン（10.2、11.0、および11.1）と特定の機能設定に影響を及ぼします。しかし、Cloud NGFW、Panoramaアプライアンス、およびPrisma AccessはCVE-2024-3400の影響範囲には含まれません。

ベンダーの勧告によると 、特定の条件が満たされれば、この脆弱性はファイアウォール上でのルート権限による任意コードの実行を可能にする可能性があります。CVE-2024-3400のためのパッチは、影響を受けるいくつかのバージョンに対して2024年4月14日から利用可能になっています。, if certain conditions for exploitation are met, the vulnerability could potentially enable arbitrary code execution with root privileges on the firewall. Patches for CVE-2024-3400 have been made available for some impacted versions as of April 14, 2024.

Palo Alto Networksは、CVE-2024-3400が一連のサイバー攻撃で現実で悪用される可能性があると述べています。 Volexityの研究者は UTA0218のエイリアスで関連する対抗者を追跡しています。攻撃者は、この欠陥を GlobalProtect内で リモートでファイアウォール装置を悪用し、リバースシェルを確立し、GolangをベースにしたトンネリングユーティリティのGOSTのような追加ツールを侵害された装置にダウンロードします。

CVE-2024-3400の調査の過程で、Volexityは攻撃者がUPSTYLEという名前のPythonバックドアをファイアウォールに仕込もうとしているのを観察しました。このマルウェアは、綿密に作成されたネットワークリクエストを通じて装置上で補足的なコマンドの実行を可能にします。

CVE-2024-3400が成功裏に悪用されると、UTA0218の対抗者はさらなる感染拡大のためにリモートサーバーから追加の攻撃ツールキットをダウンロードします。彼らはラテラルムーブメントを適用し、機密データを抽出し続けたり、攻撃にさらされているシステムを検出するための偵察行動に頼る可能性があります。

CVE-2024-3400の緩和策として、ディフェンダーは即座にベンダー提供のパッチを更新することを推奨します。また、ベンダーは、フローミダリティを悪用する攻撃を防ぐために、脅威防止サブスクリプションを持つ顧客に、脅威ID 95187、95189、及び95191を利用し、脆弱性保護策が実施されていることを確認するよう勧告しています。Palo Alto Networksはまた、ユーザーが侵入の兆候を即座に確認するための特定のCLIコマンドを作成しており、それは関連するベンダーの勧告で見つけることができます。 関連するベンダーの勧告. 

CVE-2024-3400のPoCコードの公開と現実の攻撃リスクの増加に伴い、この新たに発見されたゼロデイ脆弱性には、ディフェンダーからの超迅速な対応が求められます。SOC Primeの アタックディテクティブ は、組織のサイバーセキュリティ姿勢を自動検出スタックの検証と高度な脅威ハンティング能力により継続的にリスク最適化するためのプロアクティブなSaaSソリューションを提供し、永続的なアラートの流れではなく、効率的に検出範囲の盲点を減少させるためにインシデントを調査できるようにするものです。