Los atacantes han explotado la falla desde finales de marzo.
Después de su descubrimiento inicial, Volexity pudo crear una firma de detección y revisó la telemetría de sus clientes para encontrar compromisos anteriores. Los primeros signos de explotación que la compañía logró encontrar datan del 26 de marzo, pero esos incidentes parecían intentos de UTA0218 de probar el exploit sin implementar una carga útil maliciosa, mientras que para el 10 de abril, el actor de amenazas había comenzado a implementar una puerta trasera personalizada escrita en Python y Apodado UPSTYLE.
«Después de explotar con éxito los dispositivos, UTA0218 descargó herramientas adicionales de servidores remotos que controlaban para facilitar el acceso a las redes internas de las víctimas», dijeron los investigadores de Volexity en su informe.
“Rápidamente se movieron lateralmente a través de las redes de las víctimas, extrayendo credenciales confidenciales y otros archivos que permitirían el acceso durante y potencialmente después de la intrusión. El oficio y la velocidad empleados por el atacante sugieren un actor de amenazas altamente capaz con un manual claro de a qué acceder para promover sus objetivos”.
Lanzamiento del exploit de prueba de concepto
El 16 de abril, investigadores de la firma de seguridad WatchTowr Labs lograron reconstruir la vulnerabilidad mediante ingeniería inversa del código PAN-OS y publicaron una reseña técnica junto con un exploit de prueba de concepto en forma de solicitud HTTP con la carga útil inyectada en el valor de la cookie.
Al día siguiente, GreyNoise, una empresa que monitorea el tráfico malicioso en Internet a través de una serie de sensores globales, informó de un aumento en el número de Direcciones IP que intentan explotar CVE-2024-3400. Palo Alto Networks también actualizó su aviso para advertir a los clientes que es consciente de un número cada vez mayor de ataques que aprovechan la vulnerabilidad y que el código de explotación de prueba de concepto ahora está disponible públicamente.
La compañía también lanzó comandos que los usuarios de PAN-OS pueden ejecutar en sus dispositivos para identificar si hubo un intento de explotación, mientras que la unidad de investigación de amenazas de la compañía publicó indicadores de compromiso en una publicación de blog analizando la puerta trasera UPSTYLE.