Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Una backdoor sui firewall di Palo Alto è stata utilizzata dagli hacker da marzo

Redazione RHC : 15 Aprile 2024 15:51

Come avevamo riportato in precedenza, un bug critico è stato rilevata all’interno dei firewall di Palo Alto. Degli sconosciuti hanno sfruttato con successo per più di due settimane una vulnerabilità 0-day nei firewall di Palo Alto Networks, hanno avvertito gli esperti di Volexity.

Il bug su Palo Alto Firewall

Il problema è identificato come CVE-2024-3400 (punteggio CVSS 10) è una vulnerabilità di command injection che consente agli aggressori non autenticati di eseguire codice arbitrario con privilegi di root. Per utilizzarlo non sono richiesti privilegi speciali o interazione con l’utente.

Secondo il produttore, tutti i dispositivi che eseguono PAN-OS versioni 10.2, 11.0 e 11.1 che hanno il gateway GlobalProtect e la telemetria abilitati sono vulnerabili a CVE-2024-3400. Altre versioni di PAN-OS, firewall cloud e dispositivi Panorama e Prisma Access non sono interessate dal problema.

Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?

Stiamo per avviare il corso intermedio in modalità "Live Class" del corso "Dark Web & Cyber Threat Intelligence". 
A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.  
Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato.
Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile. 
Guarda subito l'anteprima gratuita del corso su academy.redhotcyber.com
Contattaci per ulteriori informazioni tramite WhatsApp al 375 593 1011 oppure scrivi a [email protected]



Supporta RHC attraverso:
 

  1. L'acquisto del fumetto sul Cybersecurity Awareness
  2. Ascoltando i nostri Podcast
  3. Seguendo RHC su WhatsApp
  4. Seguendo RHC su Telegram
  5. Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber

Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.
 

Attualmente sono già stati rilasciati hotfix per PAN-OS 10.2.9-h1, PAN-OS 11.0.4-h1, PAN-OS 11.1.2-h3 e versioni successive di PAN-OS. Nel prossimo futuro sono previste anche patch per altre versioni utilizzate di frequente. Le relative date di rilascio esatte possono essere trovate nel bollettino sulla sicurezza dedicato al problema.

“Palo Alto Networks è consapevole dello sfruttamento di questo problema. Stiamo monitorando lo sfruttamento iniziale di questa vulnerabilità, chiamata Operazione MidnightEclipse, perché crediamo con assoluta certezza che gli exploit conosciuti che abbiamo esaminato fino ad oggi siano limitati a un singolo aggressore”, ha affermato Palo Alto Networks.

Chi sta sfruttando la vulnerabilità e installando backdoor

Secondo gli analisti di Volexity che hanno scoperto la vulnerabilità, gli hacker sfruttano CVE-2024-3400 da marzo di quest’anno e introducono una backdoor personalizzata nei sistemi delle vittime per penetrare nelle reti interne delle aziende e rubare dati.

Volexity segue gli aggressori con il nome in codice UTA0218 e afferma che gli attacchi sono chiaramente legati a hacker governativi”, ma non è ancora riuscita a collegare l’attività degli aggressori a un paese specifico o ad altri gruppi di hacker.

“Volexity ritiene che sia molto probabile che UTA0218 sia un aggressore sponsorizzato dallo stato in base alle risorse necessarie per sviluppare e sfruttare questo tipo di vulnerabilità, al tipo di vittime prese di mira e alle capacità dimostrate durante l’installazione della backdoor Python e il successivo accesso a reti di vittime”, dicono i ricercatori.

Volexity afferma di aver notato l’exploit il 10 aprile 2024 e di aver notificato l’exploit a Palo Alto Networks. Il giorno successivo Volexity ha scoperto uno “sfruttamento identico” dello stesso problema sulla rete di un altro cliente. In questi casi, il problema veniva sfruttato per creare reverse shell e scaricare payload aggiuntivi.

Ulteriori indagini hanno rivelato che gli aggressori avevano sfruttato CVE-2024-3400 almeno dal 26 marzo, ma hanno distribuito il payload solo il 10 aprile. Secondo i ricercatori, uno dei principali payload degli aggressori è un malware Upstyle personalizzato, sviluppato appositamente per PAN-OS e che funge da backdoor per l’esecuzione di comandi sui dispositivi compromessi.

La backdoor viene installata utilizzando uno script Python che crea un file di configurazione del percorso in /usr/lib/python3.6/site-packages/system.pth. Questo file è la backdoor Upstyle; monitora i registri di accesso del server web per estrarre comandi codificati base64 per l’esecuzione.

L’installazione della backdoor Upstyle

“I comandi da eseguire vengono generati richiedendo una pagina web inesistente con un modello specifico. Il compito della backdoor è analizzare il registro degli errori del server web (/var/log/pan/sslvpn_ngx_error.log) per questo modello, trasformare e decodificare i dati aggiunti all’URI inesistente e quindi eseguire il comando risultante. Successivamente, i risultati del comando vengono aggiunti al file CSS, che fa parte del firewall (/var/appweb/sslvpndocs/global-protect/portal/css/bootstrap.min.css)”, spiegano gli esperti.

Oltre alla backdoor descritta, i ricercatori hanno osservato gli aggressori installare payload aggiuntivi per avviare reverse shell, estrarre dati di configurazione PAN-OS, eliminare registri e distribuire uno strumento di tunneling chiamato GOST.

In uno degli attacchi, ad esempio, gli hacker sono entrati nella rete interna dell’azienda per rubare file riservati in Windows, tra cui “il database di Active Directory (ntds.dit), i dati DPAPI e i registri degli eventi di Windows (Microsoft-Windows-TerminalServices-LocalSessionManager% 4.evtx operativo)”. Gli aggressori hanno anche rubato file di Google Chrome e Microsoft Edge su alcuni dispositivi presi di mira, inclusi credenziali e cookie.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli

Articoli in evidenza

L’Italia nel mondo degli Zero Day c’è! Le prime CNA Italiane sono Leonardo e Almaviva!
Di Massimiliano Brolli - 06/10/2025

Se n’è parlato molto poco di questo avvenimento, che personalmente reputo strategicamente molto importante e segno di un forte cambiamento nella gestione delle vulnerabilità non documentate in Ita...

Apple nel mirino? Presunta rivendicazione di data breach da 9 GB su Darkforums
Di Inva Malaj - 05/10/2025

Autore: Inva Malaj e Raffaela Crisci 04/10/2025 – Darkforums.st: “303” Rivendica Data Breach di 9 GB su Apple.com Nelle prime ore del 4 ottobre 2025, sul forum underground Darkforums è comparsa...

SoopSocks: il pacchetto PyPI che sembrava un proxy ma era una backdoor per Windows
Di Antonio Piazzolla - 04/10/2025

La storia di SoopSocks è quella che, purtroppo, conosciamo bene: un pacchetto PyPI che promette utilità — un proxy SOCKS5 — ma in realtà introduce un impianto malevolo ben orchestrato. Non stia...

L’informatica non è più una carriera sicura! Cosa sta cambiando per studenti e aziende
Di Redazione RHC - 04/10/2025

Per decenni, l’informatica è stata considerata una scelta professionale stabile e ricca di opportunità. Oggi, però, studenti, università e imprese si trovano davanti a un panorama radicalmente m...

Quando l’hacker si ferma al pub! Tokyo a secco di birra Asahi per un attacco informatico
Di Redazione RHC - 03/10/2025

Lunedì scorso, Asahi Group, il più grande produttore giapponese di birra, whisky e bevande analcoliche, ha sospeso temporaneamente le sue operazioni in Giappone a seguito di un attacco informatico c...