CVE-2024-3400 탐지: GlobalProtect 소프트웨어의 PAN-OS 제로데이 최대 심각도 명령 주입 취약점

Palo Alto Networks PAN-OS 소프트웨어의 GlobalProtect 기능에서 새로운 명령어 삽입 제로데이 취약점이 헤드라인을 장식했습니다. CVE-2024-3400로 식별된 이 매우 치명적인 결함은 이미 야생에서 일련의 공격에 악용되었습니다.

CVE-2024-3400 악용 시도 탐지

야생 공격에 무기화된 취약점의 수가 연간 크게 증가하고 있으며, 2023년에만 30,000개 이상의 새로운 결함이 발견되었습니다. 이는 취약점 악용 탐지가 가장 주목받는 사이버 보안 사용 사례 중 하나가 되게 합니다. 사이버 수비수들이 emerging threats를 적시에 해결하고 선제적으로 방어할 수 있도록 돕기 위해, SOC Prime 플랫폼은 AI 기반 탐지 엔지니어링, 자동화된 위협 사냥 및 탐지 스택 검증을 위한 완전한 제품군을 제공합니다.

세계 최대의 Detection-as-Code 알고리즘 라이브러리에 의해 지원받으며, 24시간 SLA 하에 모든 사이버 공격 또는 emerging 위협을 해결할 수 있는 보안 전문가들은 악의적인 활동을 원활하게 식별하고 초기 단계에서 침입을 발견하기 위한 조사를 간소화할 수 있습니다.

Palo Alto Networks 방화벽에 영향을 미치는 중요한 제로데이 취약점의 적극적인 악용을 고려하여, SOC Prime 팀은 가용한 PoC를 기반으로 가능한 CVE-2024-3400 악용 시도를 식별하기 위해 탐지 알고리즘 세트를 만들었습니다.

가능한 CVE-2024-3400 (Palo Alto PAN-OS 명령어 삽입 취약점) 악용 시도

세트의 두 규칙은 28개의 SIEM, EDR 및 데이터 레이크 기술과 호환되며 MITRE ATT&CK® 프레임워크 v14.1에 매핑되었습니다. 또한 탐지는 광범위한 메타데이터와 세부적인 CTI로 강화되었습니다.

진행 상황을 추적하고 귀중한 업데이트를 놓치지 않기 위해 사이버 수비수들은 탐지 탐색 아래 버튼을 클릭하여 CVE-2024-3400 익스플로잇을 해결하는 새 관련 규칙을 확인할 수 있습니다.

탐지 탐색

CVE-2024-3400 분석

새로운 치명적인 CVE-2024-3400 Palo Alto Networks 방화벽의 제로데이 취약점이 최고 CVSS 점수 10.0으로 주목을 받습니다. 공개된 명령어 삽입 취약점은 특정 PAN-OS 버전(10.2, 11.0 및 11.1) 및 특정 기능 구성에 영향을 미칩니다. 그러나 Cloud NGFW, Panorama 어플라이언스 및 Prisma Access는 CVE-2024-3400의 영향 범위에 포함되지 않습니다.

공급업체 권고에 따르면, 악용을 위한 특정 조건이 충족되면 이 취약점은 방화벽에서 루트 권한으로 임의 코드 실행을 가능하게 할 수 있습니다. CVE-2024-3400의 패치는 2024년 4월 14일에 영향을 받은 일부 버전에 대해 제공되었습니다. vendor advisory, if certain conditions for exploitation are met, the vulnerability could potentially enable arbitrary code execution with root privileges on the firewall. Patches for CVE-2024-3400 have been made available for some impacted versions as of April 14, 2024.

Palo Alto Networks는 CVE-2024-3400이 일련의 사이버 공격에서 실질적으로 악용될 수 있음을 명시합니다. Volexity 연구원들은 관련 적들을 UTA0218로 추적합니다. 공격자들은 이 결함을 무기화할 수 있습니다 GlobalProtect 내에서 방화벽 장치를 원격으로 악용하여 리버스 셸을 설정하고 GOST라고 불리는 Golang 기반 터널링 유틸리티와 같은 추가 도구를 감염된 장치에 다운로드합니다.

CVE-2024-3400 조사 동안, Volexity는 공격자들이 방화벽에 UPSTYLE이라는 이름의 Python 백도어를 심으려는 시도를 관찰했습니다. 이 악성 소프트웨어는 세심하게 조작된 네트워크 요청을 통해 장치에 추가 명령을 실행할 수 있게 합니다.

CVE-2024-3400이 성공적으로 악용된 후, UTA0218 적들은 감염을 더 확산시키기 위해 원격 서버에서 추가 공격 툴킷을 다운로드합니다. 그들은 횡적 이동을 적용하고 민감한 데이터를 추출하며 잠재적으로 공개된 공격 시스템을 감지하기 위한 정찰 활동에 의존할 수 있습니다.

CVE-2024-3400 완화 단계로서, 수비수들은 즉시 공급자가 제공한 패치를 업데이트할 것을 권장합니다. 공급자는 또한 결함을 무기화하는 공격을 방어하기 위해 Threat IDs 95187, 95189 및 95191을 사용하고 취약점 보호 조치가 구현되었는지 확인하기 위해 위협 예방 구독이 있는 고객에게 조언합니다. Palo Alto Networks는 사용자가 침입의 징후를 즉시 확인할 수 있도록 특정 CLI 명령을 작성하였으며, 이는 관련 공급자 권고에서 확인할 수 있습니다.. 

CVE-2024-3400 PoC 코드 공개 및 야생의 공격 위험 증가로 인해, 새로 발견된 제로데이 취약점은 수비수들로부터 초고속 대응을 요구합니다. SOC Prime의 Attack Detective 는 자동 탐지 스택 검증과 고급 위협 사냥 기능을 통해 조직의 사이버 보안 태세를 지속적으로 위험 최적화할 수 있는 사전 대응적 SaaS 솔루션을 제공하여 팀이 끝없는 경고 흐름이 아닌 사건을 조사할 수 있게 하고, 탐지 범위의 사각 지대를 효율적으로 줄일 수 있습니다.