Agli inizi di marzo, gli hacker hanno sfruttato una vulnerabilità 0-day nei firewall di Palo Alto Networks, aprendo una backdoor e mettendo a rischio la sicurezza di molte aziende. Scopriamo come è avvenuto.
Da più di due settimane, un gruppo di hacker ignoti ha avuto successo nello sfruttamento di una vulnerabilità critica, identificata come CVE-2024-3400, nei firewall di Palo Alto Networks, come ha reso noto il team di analisi cyber di Volexity. La suddetta vulnerabilità rappresenta un bug di command injection che permette a malintenzionati non identificati di far girare un codice arbitrario con privilegi di root, il che rende la violazione della sicurezza un gioco da ragazzi.
Tutti i dispositivi che utilizzano le versioni 10.2, 11.0 e 11.1 del sistema operativo PAN-OS con il gateway GlobalProtect e la telemetria attivati, risultano essere vulnerabili alla CVE-2024-3400. Successivamente al rilevamento della vulnerabilità, Palo Alto Networks ha provveduto a rilasciare gli hotfix per le versioni di PAN-OS 10.2.9-h1, 11.0.4-h1, 11.1.2-h3 e successivi.
Dopo lo sfruttamento iniziale della vulnerabilità, Palo Alto Networks ha affermato di essere consapevole dell’entità del problema e di averlo chiamato “Operazione Midnight Eclipse”. Gli esperti ritengono che gli exploit conosciuti fino ad ora siano limitati ad un singolo attaccante.
Gli esperti di Volexity, che hanno identificato per primi la vulnerabilità, riferiscono che degli hacker, da loro soprannominati UTA0218, stanno sfruttando la CVE-2024-3400 già da marzo di quest’anno. Questi hacker penetrano nelle reti interne delle aziende, introducono una backdoor personalizzata nei sistemi delle vittime e rubano dati.
Gli analisti di Volexity hanno osservato il primo exploit il 10 aprile 2024 e hanno subito informato Palo Alto Networks. Negli attacchi successivi, la vulnerabilità è stata utilizzata per creare delle reverse shell e scaricare payload aggiuntivi. Dal momento che sono state rilevate attività simili da parte degli aggressori già a partire dal 26 marzo, si ipotizza che abbiano distribuito il payload solo all’inizio di aprile. Gli aggressori, infatti, hanno utilizzato un malware chiamato Upstyle, appositamente sviluppato per PAN-OS, che funge da backdoor per l’esecuzione di comandi sui dispositivi compromessi.
Una volta installato il malware Upstyle, grazie all’utilizzo di uno script Python, gli hacker creano un file di configurazione del percorso in /usr/lib/python3.6/site-packages/system.pth. La backdoor Upstyle è in grado di monitorare i registri di accesso del server web per estrarre comandi codificati e poi eseguirli. I risultati del comando vengono poi aggiunti al file CSS, che fa parte del firewall.
La sicurezza in internet è fondamentale, specialmente per le aziende che detengono grandi quantità di dati. E’ importante dunque restare sempre aggiornati sulle possibili minacce e cercare di prevenirle. L’approfondimento sulla vulnerabilità dei firewall di Palo Alto Network evidenzia che nessun sistema è impenetrabile e che la sicurezza informatica dovrebbe essere sempre una priorità.