黑客利用Palo Alto Networks 防火墙零日漏洞发起攻击

最新推荐文章于 2024-07-08 21:50:19 发布
最新推荐文章于 2024-07-08 21:50:19 发布
阅读量852 收藏 5
点赞数 25
文章标签: php 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_80115097/article/details/137879979
版权

据bleepingcomputer消息,自 3 月 26 日以来,疑似受到国家支持的黑客一直在利用 Palo Alto Networks 防火墙中的零日漏洞(编号为 CVE-2024-3400),入侵企业组织内部网络以窃取数据和凭证。

图片

Palo Alto Networks 披露,黑客正在积极利用其 PAN-OS 防火墙软件中未经身份验证的远程代码执行漏洞。对此,Palo Alto Networks 披露了该漏洞并发布缓解措施,以便客户可以保护他们的设备,直到补丁完成。

Volexity 公司随后发布的一份报告披露该零日漏洞,提供了有关黑客自 3 月份以来如何利用该漏洞并安装自定义后门以转向目标内部网络并窃取数据的细节。Volexity 正在追踪这一名为 UTA0218 的恶意活动,并认为很可能是国家支持的攻击者正在实施这些攻击。

Volexity 表示, 2024 年 4 月 10 日首次在 Palo Alto Networks PAN-OS 的 GlobalProtect 功能中检测到零日漏洞利用,并向供应商通报了该活动。Volexity 观察到另一位客户对同一零日漏洞进行了“相同的利用”,以创建返回攻击者C2的反向 shell,并将更多有效负载下载到设备上。

该公司的进一步调查表明,攻击者至少从 3 月 26 日起就一直在利用 CVE-2024-3400 零日漏洞,但直到 4 月 10 日才部署有效负载。

安装的有效负载之一是名为“Upstyle”的自定义植入程序,专门为 PAN-OS 设计,充当在受感染设备上执行命令的后门。该后门是通过 Python 脚本安装的,该脚本在“/usr/lib/python3.6/site-packages/system.pth”处创建路径配置文件。

图片

用于安装后门的初始Python负载
来源:BleepingComputer

根据 Python文档,Python使用路径配置文件向sys.path变量添加额外的目录,该变量用于搜索要加载的模块。但是,如果 .pth 文件以 Import 开头,后跟空格或制表符,则每次 Python 启动时都会执行以下任何代码。

system.pth文件是 Upstyle 后门,它将监视 Web 服务器的访问日志以提取要执行的 Base64 命令。

攻击者通过请求包含特定模式的不存在的网页来伪造要执行的命令。后门的目的是解析 Web 服务器错误日志(/var/log/pan/sslvpn_ngx_error.log ) 寻找模式,并解析和解码添加到不存在的 URI 的数据,执行其中包含的命令。然后,命令输出将附加到 CSS 文件中,该文件是防火墙的合法部分 ( /var/appweb/sslvpndocs/global-protect/portal/css/bootstrap.min.css )。

图片

提取要执行的命令并将输出写入日志
来源:BleepingComputer.com

下图说明了 Upstyle 后门的运作方式。

图片

说明 Upstyle 后门如何运作的图表
来源:BleepingComputer

除此之外,Volexity 还观察到攻击者部署了额外的有效负载来启动反向 shell、窃取 PAN-OS 配置数据、删除日志文件、部署名为 GOST的 Golang 隧道工具。 

在其中的一次安全事件中,Volexity 观察到攻击者转向内部网络窃取敏感的 Windows 文件,例如“Active Directory 数据库 (ntds.dit)、关键数据 (DPAPI) 和 Windows 事件日志 (Microsoft-Windows-TerminalServices- LocalSessionManager%4Operational.evtx)。”

此外,攻击者还窃取了特定目标设备上的 Google Chrome 和 Microsoft Edge 文件,包括登录数据、Cookie 和本地状态。这些文件包含保存的凭据和身份验证 cookie,可能允许攻击者破坏其他设备。

Volexity 表示,可以使用两种方法来检测Palo Alto Networks 防火墙是否遭到破坏。他们仍在与 Palo Alto Networks 合作研究一种方法,因此他们目前尚未准备好共享信息。

另一种方法是:

  1. 生成技术支持文件,该文件可用于生成包含取证工件的日志,可对其进行分析以检测妥协。

  2. 监控 Direct-to IP HTTP 的网络活动,以下载有效负载、源自 GlobalProtect 设备的 SMB/RDP 连接、包含浏览器数据的 SMB 文件传输,以及来自以下地址的向 worldtimeapi[.]org/api/timezone/etc/utc 发出的 HTTP 请求装置。

原文地址:https://www.bleepingcomputer.com/news/security/palo-alto-networks-zero-day-exploited-since-march-to-backdoor-firewalls/

图片来源:https://www.bleepingcomputer.com/news/security/palo-alto-networks-zero-day-exploited-since-march-to-backdoor-firewalls/

  声明:⽂中所涉及的技术、思路和⼯具仅供以安全为⽬的的学习交流使⽤,任何⼈不得将其⽤于⾮法⽤途以及盈利等⽬的,否则后果⾃⾏承担。所有渗透都需获取授权

免费领取安全学习资料包!


渗透工具

技术文档、书籍

面试题

帮助你在面试中脱颖而出

视频

基础到进阶

环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等

应急响应笔记

学习路线

黑客大佬
关注
  • 25
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Palo Alto防火墙远程代码执行漏洞复现
Just Do It
12-26 3827
最近,花了点时间复现了一下这个漏洞,踩过一些坑,在这里记录一下。关于这个漏洞的情况,可以看这里。       文章介绍说,三个漏洞组合完成代码执行的过程。作者其实写的蛮清楚的,但是在第三步是有一些坑要踩的。       首先,来复现部分权限绕过,先访问/php/utils/debug.php。会直接跳转到登录页面,如下图所示:       接着按照作者指导的方式,访问/esp/cms_c
Paloalto下一代防火墙 WildFire管理员指南(中文)
05-27
Paloalto下一代防火墙 WildFire管理员指南,介绍了如何配置你的Paloalto下一代防火墙提交样本至WildFire 云,以及如何管理在专有云或者混合云部署中使用的WF-500设备。。。。。。。。。。。。。。。。。。。。。。。...
Palo Alto Networks威胁简报: 即刻安装补丁程序,以免受到 Android Toast 覆盖的攻击...
weixin_34302561的博客
09-04 138
本文讲的是 Palo Alto Networks威胁简报: 即刻安装补丁程序,以免受到 Android Toast 覆盖的攻击Palo Alto Networks Unit 42 研究人员发布了关于影响 Google Android 平台的新型高严重性漏洞的详细信息(https://researchcenter.paloaltonetworks.com...
PALO ALTO NETWORKS 的新一代防火墙如何保护企业安全
qq_43653083的博客
07-19 470
采用我们的新一代防火墙,您的用户可以根据业务要求访问数据和应用,保护您免遭基于凭证的攻击,阻止已知和之前未知的威胁,包括在加密流量中的威胁。这些根本性的转变带来了新的威胁形势,使旧有安全技术的弱点暴露无遗,例如基于端口的网络安全,或未经原生集成的不同工具和技术。我们的新一代防火墙提供防御型架构,这种架构易于部署和操作,采用自动化方式来减少手动工作,让您的安全团队能够专注更重要的工作,帮助您轻松采用全新创新技术。传统的安全模型注重外围防护,而侵入网络内部的威胁会被忽视,从而任意破坏敏感、宝贵的业务数据。
Palo Alto Networks推出云应用框架
weixin_33935777的博客
09-04 168
本文讲的是 Palo Alto Networks推出云应用框架,下一代安全企业Palo Alto Networks近日宣布推出框架Palo Alto Networks应用框架,该框架以云为基础,可实现对Palo Alto Networks 下一代安全平台的功能扩展,助力客户快速购买和使用由各种规模供应商提供的广泛的云安全创新应用。 这一全新框架代表着Pa...
Palo Alto Networks打造的安全平台方法论
weixin_33907511的博客
07-05 195
如今,随着云计算、大数据、移动互联网的普及,我们的时代逐步迈向了网络时代,网络已经渗透到了我们生活、工作的方方面面,但随之而来的网络安全也随之而来,从斯诺登的“棱镜门”到网易邮箱“被破”,如何保护网络安全,成为人们现在面临亟待解决的问题。 Palo Alto Networks作为全球首先提出下一代防火墙概念的公司,目前在网络安全行业也是代表性的防火墙提供...
Palo Alto 再次修复一个严重的 PAN-OS 漏洞
smellycat000的专栏
07-09 1245
聚焦源代码安全,网罗国内外最新资讯!编译:奇安信代码卫士团队今日,Palo Alto Networks (PAN)公司修复了PAN-OS GlobalProtect门户网站中的又...
Palo Alto Networks的下一代安全方法论
weixin_33905756的博客
09-06 141
本文讲的是 : Palo Alto Networks的下一代安全方法论 ,【IT168评论】作为下一代安全理念的提出者,Palo Alto Networks在网络安全行业扮演着至关重要的角色。国内安全厂商对于下一代安全理念以及下一代防火墙扮演的角色各执一词,有厂商认为“化被动为主动的方法论”才是下一代防火墙理念,也有安全从业者将下一代安全理念理解...
Palo Alto Networks与国际刑警组织签署首个数据交换协议
weixin_33811961的博客
09-01 132
下一代安全企业Palo Alto Networks®(纽交所代码:PANW)近日宣布与国际刑警组织全球创新中心(INTERPOL Global Complex for Innovation, IGCI)开启正式合作,Palo Alto Networks成为首个与国际刑警组织签署数据交换协议(Data Exchange Agreement,DEA...
Palo Alto:注意!PAN-OS 防火墙 0day 漏洞已遭利用
smellycat000的专栏
04-15 300
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士Palo Alto Networks 公司提醒称,PAN-OS 防火墙中存在一个严重的命令注入0day漏洞,且该漏洞已遭在野利用Palo Alto Networks 公司发布安全公告称,“Palo Alto Networks 注意到数量有限的攻击正在利用漏洞。”该漏洞由 Volexity 公司发现,编号为CVE-2024-3400,是一个命令...
Paloalto 下一代防火墙 WEB界面参考指南(中文)
05-27
Paloalto 下一代防火墙 WEB界面参考指南,提供如何使用WEB界面信息功能。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。...
Paloalto下一代防火墙运维手册.pdf
02-04
Paloalto下一代防火墙运维手册.pdf
paloalto MIB库,可用于SNMP监控。
05-17
标题中的“paloalto MIB库”是指Palo Alto Networks为自己的防火墙和安全设备开发的一系列MIB文件。这些MIB文件允许管理员通过SNMP协议获取设备的详细信息,进行故障排查、性能分析和自动化管理。 描述中的“可用于...
netbox-paloalto:NetBox插件,用于列出与NetBox对象关联的防火墙规则(来自Palo Alto Networks FirewallPanorama)
05-08
Palo Alto Networks防火墙/全景NetBox插件 使用此插件,您可以直接在NetBox中列出在Palo Alto Networks防火墙或Panorama管理服务器上定义的防火墙规则。 URL <NETBOX>/plugins/paloalto/<object>将列出与对象...
如何用Java写一个整理Java方法调用关系网络的程序
qq_42349895的博客
07-06 888
最近遇到了一个问题,大致是这样的:如果给你一个 java 方法,如何找到有哪些菜单在使用。我的第一想法是,这不很简单吗?!使用 IDEA 自带的右键 Find Usage 功能,一步一步往上溯源最终找到 Controller 中的方法,找到 requestMapping 的映射路径,然后去数据库一查便知。
Vulnhub靶场DC-6练习
最新发布
Reset
07-08 961
netdiscover探测目标主机ip。nmap探测开放端口和服务。dirsearch查看网站目录结构。wpscan扫描wordpress的用户。wpscan利用wordlists字典爆破密码。Activity monitor插件的漏洞:CVE-2018-15877反弹shell。nmap提权。
wordpress网站添加一个临时维护功能
爱酷码的博客
07-07 291
有时遇到一些情况,比如站点需要闭站备案、或者被要求停站等等,我们就可以使用本文的功能,使我们的 wordpress 站点一键进入站点维护模式:打开站点的任意链接都显示“站点维护中”的字眼,而且返回 503 响应码比整站关闭对搜索引擎更加友好~把以下代码放到functions.php文件中,主要用网站临时维护或者用于备案。事情做好了,把以下代码删除即可!
30、PHP 实现 左旋转字符串、翻转单词顺序列
weixin_44010641的博客
07-06 232
后来才意识到,这家伙原来把句子单词的顺序翻转了,正确的句子应该是“I am a student.”。例如,字符序列S=”abcXYZdef”,要求输出循环左移3位后的结果,即“XYZdefabc”。对于一个给定的字符序列S,请你把其循环左移K位后的序列输出。同事Cat对Fish写的内容颇感兴趣,有一天他向Fish借来翻看,但却读不懂它的意思。公司最近来了一个新员工Fish,每天早晨总是会拿着一本英文杂志,写些句子在本子上。汇编语言中有一种移位指令叫做循环左移(ROL),现在有个简单的任务,
Palo Alto PCNSE 10.1 Official Certification Study Guide .pdf
01-14
"Palo Alto Networks PCNSE 10.1 Official Certification Study Guide" 这份官方认证学习指南是针对Palo Alto Networks Certified Network Security Engineer (PCNSE) 10.1版本的,旨在帮助考生准备和通过该认证...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值