Cibercriminosos patrocinados pelo Estado exploram zero-day em firewalls

Um cibercriminoso explorou com sucesso uma vulnerabilidade zero-day nos firewalls da Palo Alto Networks por mais de duas semanas, alertam os investigadores da Volexity. A empresa divulgou a falha na sexta-feira passada, afirmando de que estava ciente da exploração ativa, e lançou as respetivas correções esta semana.

A vulnerabilidade CVE-2024-3400, que afeta o GlobalProtect VPN da Palo Alto, é classificada com uma pontuação CVSS de 10/10, sendo descrita como um problema de injeção de comando que permite aos invasores não autenticados executar código arbitrário em firewalls afetados, com privilégios de root.

O fornecedor alertou que são vulneráveis à falha todos os dispositivos com as versões 10.2, 11.0 e 11.1 do PAN-OS que têm o gateway GlobalProtect e a telemetria de dispositivo habilitados. Outras versões do PAN-OS, firewalls em cloud, dispositivos Panorama e Prisma Access não são impactados.

“A Palo Alto Networks está ciente da exploração maliciosa deste problema. Estamos a rastrear a exploração inicial desta vulnerabilidade sob o nome de Operação MidnightEclipse, pois avaliámos com alta confiança que a exploração conhecida que analisámos até agora está limitada a um único ator de ameaça”, escreveu a empresa no seu blog.

A empresa de cibersegurança Volexity atribuiu a exploração da falha a um ator de ameaça patrocinado pelo Estado – seguido como UTA0218 – que parece ser altamente capaz “com um playbook claro sobre o que aceder para cumprir os seus objetivos”.

“A Volexity avalia que é altamente provável que o UTA0218 seja um ator de ameaça apoiado pelo Estado com base nos recursos necessários para desenvolver e explorar uma vulnerabilidade desta natureza, no tipo de vítimas visadas por este ator e nas capacidades exibidas para instalar o backdoor Python e aceder ainda mais às redes das vítimas”, comenta.

De acordo com a empresa de cibersegurança, existem “evidências de uma potencial atividade de reconhecimento que envolvem uma exploração mais generalizada destinada a identificar sistemas vulneráveis”. A vulnerabilidade tem sido explorada com sucesso pelos cibercriminosos desde dia 26 de março contra várias organizações. Em dois casos, o cibercriminoso injetou um backdoor baseado em Python chamado Upstyle para executar comandos adicionais.

“Depois de explorar com sucesso os dispositivos, o UTA0218 fez download de ferramentas adicionais de servidores remotos que controlava, a fim de facilitar o acesso às redes internas das vítimas. Eles moviam-se rapidamente lateralmente pelas redes das vítimas, extraindo credenciais confidenciais e outros ficheiros que permitiriam o acesso durante e potencialmente após a invasão”, explica a Volexity.

Num ataque particular, o agente de ameaça utilizou uma conta de serviço altamente privilegiada do firewall da Palo Alto Networks para se mover lateralmente via SMB e WinRM. Desta forma, o UTA0218 conseguiu exfiltrar o banco de dados do Active Directory, dados principais, logs de eventos do Windows, informações de login, cookies e dados do navegador, sendo capaz de descriptografar as credenciais armazenadas.

“O UTA0218 não foi observado a implantar malware ou métodos adicionais de persistência em sistemas nas redes das vítimas. Os dados roubados permitiram que o invasor comprometesse efetivamente as credenciais de todas as contas de domínio. Além disso, o invasor obteve acesso e poderia usar credenciais válidas ou cookies extraídos dos dados do navegador para workstations de utilizadores específicos acedidas”, acrescenta.

A Palo Alto Networks e a Volexity acreditam que, nos próximos dias, a exploração da CVE-2024-3400 aumentará, seja pela parte do UTA0218 como por outros cibercriminosos.

Também a empresa de cibersegurança Silverfort “está a ver um aumento na atividade de invasores após a publicação do CVE-2024-3400”, sublinha Yaron Kassner, cofundador da empresa. “Após o invasor comprometer o dispositivo, a próxima fase é mover-se lateralmente para obter acesso a ativos confidenciais dentro da rede, conforme relatado pela Volexity. Os invasores precisam de credenciais para fazer isso e, naturalmente, usaram a mesma conta de serviço usada pelo GlobalProtect”.

A agência de cibersegurança norte-americana (CISA) adicionou a falha da VPN à sua lista de vulnerabilidades exploradas conhecidas quase imediatamente após a sua divulgação e alertou as agências federais para a necessidade de corrigirem o bug com urgência.