يتم استغلال ثغرة أمنية كبيرة في Palo Alto عبر الباب الخلفي لـ Python Zero-day – TechToday
النشرة الإخبارية
Sed ut perspiciatis unde.
منذ أسابيع، قامت جهات تهديد مجهولة الهوية باستغلال ثغرة أمنية حرجة في برنامج PAN-OS الخاص بشركة Palo Alto Networks، حيث تقوم بتشغيل تعليمات برمجية عشوائية على جدران الحماية الضعيفة، مع امتياز الجذر.
وقد قام العديد من الباحثين الأمنيين بوضع علامة على الحملة، بما في ذلك الوحدة 42 الخاصة بشركة Palo Alto Networks، مشيرين إلى أن مجموعة تهديد واحدة كانت تستغل ثغرة أمنية تسمى حقن الأوامر، منذ 26 مارس 2024 على الأقل.
يتم الآن تتبع هذه الثغرة الأمنية باسم CVE-2024-3400، وتحمل درجة خطورة قصوى (10.0). استهدفت الحملة، التي أطلق عليها اسم MidnightEclipse، تكوينات جدار الحماية PAN-OS 10.2 وPAN-OS 11.0 وPAN-OS 11.1 مع تمكين بوابة GlobalProtect والقياس عن بعد للجهاز، نظرًا لأن هذه هي نقاط النهاية الضعيفة الوحيدة.
ممثل تهديد ذو قدرة عالية
كان المهاجمون يستخدمون الثغرة الأمنية لإسقاط باب خلفي يعتمد على لغة بايثون على جدار الحماية، والذي أطلق عليه Volexity، وهو ممثل تهديد منفصل راقب الحملة في البرية، اسم UPSTYLE. في حين أن الدوافع وراء الحملة تخضع للتكهنات، يعتقد الباحثون أن نهاية اللعبة هنا هي استخراج البيانات الحساسة. ولا يعرف الباحثون بالضبط عدد الضحايا، ولا من يستهدفهم المهاجمون في المقام الأول. وقد تم منح الجهات التهديدية لقب UTA0218 في الوقت الحالي.
وقال الباحثون: “إن البراعة والسرعة التي يستخدمها المهاجم تشير إلى وجود جهة تهديد ذات قدرة عالية مع قواعد لعب واضحة لما يمكن الوصول إليه لتعزيز أهدافه”. “كانت الأهداف الأولية لـ UTA0218 تهدف إلى الحصول على مفاتيح DPAPI الاحتياطية للمجال واستهداف بيانات اعتماد الدليل النشط من خلال الحصول على ملف NTDS.DIT. كما استهدفوا محطات عمل المستخدمين لسرقة ملفات تعريف الارتباط المحفوظة وبيانات تسجيل الدخول، إلى جانب مفاتيح DPAPI الخاصة بالمستخدمين.
وفي كتابته، أخبار الهاكر ذكرت أن وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) أضافت هذا الخلل إلى كتالوج الثغرات الأمنية المعروفة (KEV)، مما أعطى الوكالات الفيدرالية موعدًا نهائيًا في 19 أبريل لتطبيق التصحيح وتخفيف التهديد.
وقال Volexity: “يظل استهداف الأجهزة الطرفية وسيلة شائعة للهجوم بالنسبة للجهات الفاعلة القادرة على التهديد والتي لديها الوقت والموارد اللازمة للاستثمار في البحث عن ثغرات أمنية جديدة”.
“من المحتمل جدًا أن يكون UTA0218 جهة فاعلة تهديدية مدعومة من الدولة استنادًا إلى الموارد المطلوبة لتطوير واستغلال ثغرة أمنية من هذا النوع، ونوع الضحايا الذين يستهدفهم هذا الفاعل، والقدرات المعروضة لتثبيت باب Python الخلفي ومواصلة الوصول إلى الضحية. الشبكات.”
المزيد من TechRadar Pro
اكتشاف المزيد من موقع علم
اشترك للحصول على أحدث التدوينات المرسلة إلى بريدك الإلكتروني.
