Detecção da CVE-2024-3400: Uma Vulnerabilidade de Dia Zero de Injeção de Comando de Máxima Severidade no PAN-OS do Software GlobalProtect
Índice:
Uma nova vulnerabilidade zero-day de injeção de comandos no recurso GlobalProtect do software PAN-OS da Palo Alto Networks chega às manchetes. A falha altamente crítica, identificada como CVE-2024-3400, já foi explorada em uma série de ataques em circulação.
Detectar Tentativas de Exploração do CVE-2024-3400
O número de vulnerabilidades armadas para ataques em circulação aumenta tremendamente a cada ano, com mais de 30 mil novas falhas sendo descobertas somente em 2023. Isso faz da Detecção de Exploração de Vulnerabilidades um dos casos de uso de cibersegurança mais populares. Para ajudar os defensores cibernéticos a enfrentar ameaças emergentes em tempo hábil e defender-se proativamente, a plataforma SOC Prime para defesa cibernética coletiva oferece uma gama completa de produtos para Engenharia de Detecção com tecnologia de IA, Caça de Ameaças Automatizada e Validação de Stack de Detecção.
Suportados pela maior biblioteca de Detecção-como-Código do mundo de algoritmos, abordando qualquer ataque cibernético ou ameaça emergente sob um SLA de 24 horas, os profissionais de segurança podem identificar atividades maliciosas sem dificuldades e agilizar a investigação para detectar intrusões nas primeiras fases.
Em face da exploração ativa de uma vulnerabilidade zero-day crítica que impacta os firewalls da Palo Alto Networks, a equipe da SOC Prime criou um conjunto de algoritmos de detecção para identificar possíveis tentativas de exploração do CVE-2024-3400 com base no PoC disponível.
Ambas as regras no conjunto são compatíveis com 28 tecnologias SIEM, EDR e Data Lake e mapeadas para o® framework MITRE ATT&CK v14.1. Além disso, as detecções são enriquecidas com metadados extensivos e CTI detalhado.
Para se manter atualizado e não perder atualizações valiosas, os defensores cibernéticos podem verificar novas regras relevantes que abordam explorações do CVE-2024-3400 clicando no Explorar Detecções botão abaixo.
Análise do CVE-2024-3400
Uma nova crítica vulnerabilidade zero-day CVE-2024-3400 nos firewalls da Palo Alto Networks ganha destaque com a pontuação CVSS mais alta de 10.0. A vulnerabilidade de injeção de comandos desvelada afeta versões específicas do PAN-OS (10.2, 11.0 e 11.1) junto com certas configurações de recursos. No entanto, Cloud NGFW, os dispositivos Panorama e o Prisma Access não estão dentro do escopo de impacto do CVE-2024-3400.
De acordo com o aviso do fornecedor, se certas condições para exploração forem atendidas, a vulnerabilidade pode potencialmente permitir a execução arbitrária de código com privilégios de root no firewall. Patches para o CVE-2024-3400 foram disponibilizados para algumas versões impactadas a partir de 14 de abril de 2024.
A Palo Alto Networks afirma que o CVE-2024-3400 pode ser explorado em circulação em uma série de ataques cibernéticos. Pesquisadores da Volexity monitoram adversários relacionados sob o alias UTA0218. Os atacantes podem armar a falha dentro do GlobalProtect explorando remotamente o dispositivo de firewall, estabelecendo um shell reverso e baixando ferramentas adicionais no dispositivo comprometido, como um utilitário de tunelamento baseado em Golang chamado GOST.
Durante a investigação do CVE-2024-3400, a Volexity observou tentativas dos atacantes de implantar um backdoor em Python, chamado UPSTYLE, no firewall. O malware facilita a execução de comandos suplementares no dispositivo através de solicitações de rede cuidadosamente elaboradas.
Após a exploração bem-sucedida do CVE-2024-3400, os adversários UTA0218 baixam um kit de ferramentas ofensivo adicional de seus servidores remotos para espalhar ainda mais a infecção. Eles aplicam movimento lateral, prosseguem com a extração de dados sensíveis e potencialmente dependem de atividade de reconhecimento para detectar sistemas expostos a ataques.
Como etapas de mitigação do CVE-2024-3400, os defensores recomendam atualizar prontamente o patch fornecido pelo fornecedor. O fornecedor também aconselha clientes com uma assinatura de Prevenção de Ameaças a impedir ataques que usem a falha empregando as Threat IDs 95187, 95189 e 95191, garantindo que medidas de proteção contra vulnerabilidades tenham sido implementadas. A Palo Alto Networks também criou um comando CLI específico para os usuários verificarem instantaneamente qualquer sinal de intrusões, que pode ser encontrado no aviso do fornecedor relacionado.
Com a divulgação pública do código PoC do CVE-2024-3400 e o aumento dos riscos de ataques em circulação, a vulnerabilidade zero-day recentemente descoberta requer uma ultra-responsividade dos defensores. O Attack Detective da SOC Prime oferece uma solução SaaS proativa para continuamente otimizar o risco da postura de cibersegurança da organização com validação de stack de detecção automatizada e capacidades avançadas de caça às ameaças, permitindo que as equipes investiguem incidentes em vez de fluxos intermináveis de alertas e reduzam eficientemente os pontos cegos na cobertura de detecção.
