Desde hace semanas, actores de amenazas no identificados han estado aprovechando una vulnerabilidad crítica de día cero en el software PAN-OS de Palo Alto Networks, ejecutando código arbitrario en firewalls vulnerables, con privilegios de root.
Varios investigadores de seguridad han señalado la campaña, incluida la propia Unidad 42 de Palo Alto Networks, señalando que un único grupo de actores de amenazas ha estado abusando de una vulnerabilidad llamada inyección de comandos, desde al menos el 26 de marzo de 2024.
Esta vulnerabilidad ahora se rastrea como CVE-2024-3400 y tiene una puntuación de gravedad máxima (10,0). La campaña, denominada MidnightEclipse, se centró en las configuraciones de firewall PAN-OS 10.2, PAN-OS 11.0 y PAN-OS 11.1 con la puerta de enlace GlobalProtect y la telemetría del dispositivo habilitadas, ya que estos son los únicos puntos finales vulnerables.
Actor de amenazas altamente capaz
Los atacantes han estado utilizando la vulnerabilidad para colocar una puerta trasera basada en Python en el firewall que Volexity, un actor de amenazas independiente que observó la campaña en la naturaleza, denominó UPSTYLE. Si bien los motivos detrás de la campaña están sujetos a especulación, los investigadores creen que el objetivo aquí es extraer datos confidenciales. Los investigadores no saben exactamente cuántas víctimas hay ni a quién se dirigen principalmente los atacantes. A los actores de amenazas se les ha dado el apodo de UTA0218 por ahora.
«El arte y la velocidad empleados por el atacante sugieren un actor de amenazas altamente capaz con un manual claro de a qué acceder para promover sus objetivos», dijeron los investigadores. «Los objetivos iniciales de UTA0218 estaban dirigidos a obtener las claves DPAPI de respaldo del dominio y apuntar a las credenciales del directorio activo obteniendo el archivo NTDS.DIT. Además, apuntaron a las estaciones de trabajo de los usuarios para robar cookies guardadas y datos de inicio de sesión, junto con las claves DPAPI de los usuarios».
En su redacción, Las noticias de los piratas informáticos informó que la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó esta falla a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), dando a las agencias federales una fecha límite del 19 de abril para aplicar el parche y mitigar la amenaza.
«Apuntar a dispositivos de vanguardia sigue siendo un vector de ataque popular para los actores de amenazas capaces que tienen el tiempo y los recursos para invertir en la investigación de nuevas vulnerabilidades», dijo Volexity.
«Es muy probable que UTA0218 sea un actor de amenazas respaldado por el estado según los recursos necesarios para desarrollar y explotar una vulnerabilidad de esta naturaleza, el tipo de víctimas a las que se dirige este actor y las capacidades mostradas para instalar la puerta trasera de Python y acceder aún más a la víctima. redes.»