Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca
Red Hot Cyber Academy

Una backdoor sui firewall di Palo Alto è stata utilizzata dagli hacker da marzo

Redazione RHC : 15 Aprile 2024 15:51

Come avevamo riportato in precedenza, un bug critico è stato rilevata all’interno dei firewall di Palo Alto. Degli sconosciuti hanno sfruttato con successo per più di due settimane una vulnerabilità 0-day nei firewall di Palo Alto Networks, hanno avvertito gli esperti di Volexity.

Il bug su Palo Alto Firewall

Il problema è identificato come CVE-2024-3400 (punteggio CVSS 10) è una vulnerabilità di command injection che consente agli aggressori non autenticati di eseguire codice arbitrario con privilegi di root. Per utilizzarlo non sono richiesti privilegi speciali o interazione con l’utente.

Secondo il produttore, tutti i dispositivi che eseguono PAN-OS versioni 10.2, 11.0 e 11.1 che hanno il gateway GlobalProtect e la telemetria abilitati sono vulnerabili a CVE-2024-3400. Altre versioni di PAN-OS, firewall cloud e dispositivi Panorama e Prisma Access non sono interessate dal problema.

Vorresti toccare con mano la Cybersecurity e la tecnologia? Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)

Se sei un ragazzo delle scuole medie, superiori o frequenti l'università, oppure banalmente un curioso di qualsiasi età, il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:

  • Creare Un Sistema Ai Di Visual Object Tracking (Hands on)
  • Social Engineering 2.0: Alla Scoperta Delle Minacce DeepFake
  • Doxing Con Langflow: Stiamo Costruendo La Fine Della Privacy?
  • Come Hackerare Un Sito WordPress (Hands on)
  • Il Cyberbullismo Tra Virtuale E Reale
  • Come Entrare Nel Dark Web In Sicurezza (Hands on)

  • Potete iscrivervi gratuitamente all'evento, che è stato creato per poter ispirare i ragazzi verso la sicurezza informatica e la tecnologia.
    Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765


    Supporta RHC attraverso:


    Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

    Attualmente sono già stati rilasciati hotfix per PAN-OS 10.2.9-h1, PAN-OS 11.0.4-h1, PAN-OS 11.1.2-h3 e versioni successive di PAN-OS. Nel prossimo futuro sono previste anche patch per altre versioni utilizzate di frequente. Le relative date di rilascio esatte possono essere trovate nel bollettino sulla sicurezza dedicato al problema.

    “Palo Alto Networks è consapevole dello sfruttamento di questo problema. Stiamo monitorando lo sfruttamento iniziale di questa vulnerabilità, chiamata Operazione MidnightEclipse, perché crediamo con assoluta certezza che gli exploit conosciuti che abbiamo esaminato fino ad oggi siano limitati a un singolo aggressore”, ha affermato Palo Alto Networks.

    Chi sta sfruttando la vulnerabilità e installando backdoor

    Secondo gli analisti di Volexity che hanno scoperto la vulnerabilità, gli hacker sfruttano CVE-2024-3400 da marzo di quest’anno e introducono una backdoor personalizzata nei sistemi delle vittime per penetrare nelle reti interne delle aziende e rubare dati.

    Volexity segue gli aggressori con il nome in codice UTA0218 e afferma che gli attacchi sono chiaramente legati a “hacker governativi”, ma non è ancora riuscita a collegare l’attività degli aggressori a un paese specifico o ad altri gruppi di hacker.

    “Volexity ritiene che sia molto probabile che UTA0218 sia un aggressore sponsorizzato dallo stato in base alle risorse necessarie per sviluppare e sfruttare questo tipo di vulnerabilità, al tipo di vittime prese di mira e alle capacità dimostrate durante l’installazione della backdoor Python e il successivo accesso a reti di vittime”, dicono i ricercatori.

    Volexity afferma di aver notato l’exploit il 10 aprile 2024 e di aver notificato l’exploit a Palo Alto Networks. Il giorno successivo Volexity ha scoperto uno “sfruttamento identico” dello stesso problema sulla rete di un altro cliente. In questi casi, il problema veniva sfruttato per creare reverse shell e scaricare payload aggiuntivi.

    Ulteriori indagini hanno rivelato che gli aggressori avevano sfruttato CVE-2024-3400 almeno dal 26 marzo, ma hanno distribuito il payload solo il 10 aprile. Secondo i ricercatori, uno dei principali payload degli aggressori è un malware Upstyle personalizzato, sviluppato appositamente per PAN-OS e che funge da backdoor per l’esecuzione di comandi sui dispositivi compromessi.

    La backdoor viene installata utilizzando uno script Python che crea un file di configurazione del percorso in /usr/lib/python3.6/site-packages/system.pth. Questo file è la backdoor Upstyle; monitora i registri di accesso del server web per estrarre comandi codificati base64 per l’esecuzione.

    L’installazione della backdoor Upstyle

    “I comandi da eseguire vengono generati richiedendo una pagina web inesistente con un modello specifico. Il compito della backdoor è analizzare il registro degli errori del server web (/var/log/pan/sslvpn_ngx_error.log) per questo modello, trasformare e decodificare i dati aggiunti all’URI inesistente e quindi eseguire il comando risultante. Successivamente, i risultati del comando vengono aggiunti al file CSS, che fa parte del firewall (/var/appweb/sslvpndocs/global-protect/portal/css/bootstrap.min.css)”, spiegano gli esperti.

    Oltre alla backdoor descritta, i ricercatori hanno osservato gli aggressori installare payload aggiuntivi per avviare reverse shell, estrarre dati di configurazione PAN-OS, eliminare registri e distribuire uno strumento di tunneling chiamato GOST.

    In uno degli attacchi, ad esempio, gli hacker sono entrati nella rete interna dell’azienda per rubare file riservati in Windows, tra cui “il database di Active Directory (ntds.dit), i dati DPAPI e i registri degli eventi di Windows (Microsoft-Windows-TerminalServices-LocalSessionManager% 4.evtx operativo)”. Gli aggressori hanno anche rubato file di Google Chrome e Microsoft Edge su alcuni dispositivi presi di mira, inclusi credenziali e cookie.

    Redazione
    La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

    Lista degli articoli

    Articoli in evidenza

    HackerHood di RHC Rivela due nuovi 0day sui prodotti Zyxel

    Il collettivo di ricerca in sicurezza informatica HackerHood, parte dell’universo della community di Red Hot Cyber, ha recentemente scoperto due nuove vulnerabilità ...

    A lezione di IA a 6 anni: la Cina prepara i suoi bambini alla rivoluzione dell’intelligenza artificiale

    La Cina introdurrà corsi di intelligenza artificiale per gli studenti delle scuole primarie e secondarie questo autunno. L’iniziativa prevede che i bambini a partire dai sei anni imparino ...

    Attacco Hacker a 4chan! Dove è nato Anonymous, probabilmente chiuderà per sempre

    L’imageboard di 4chan è praticamente inattivo da lunedì sera (14 aprile), apparentemente a causa di un attacco hacker. I membri dell’imageboard Soyjak party (noto anche semplic...

    Zero-day su iPhone, Mac e iPad: Apple corre ai ripari con patch d’emergenza

    Apple ha rilasciato patch di emergenza per correggere due vulnerabilità zero-day. Secondo l’azienda, questi problemi sono stati sfruttati in attacchi mirati ed “estremamen...

    CVE e MITRE salvato dagli USA. L’Europa spettatrice inerme della propria Sicurezza Nazionale

    Quanto accaduto in questi giorni deve rappresentare un campanello d’allarme per l’Europa.Mentre il programma CVE — pilastro della sicurezza informatica globale — rischiava ...