Palo Alto製ファイアウォールのゼロデイを国家支援型アクターが悪用:CVE-2024-3400 | Codebook|Security News
Codebook|Security News > Articles > Threat Report > Palo Alto製ファイアウォールのゼロデイを国家支援型アクターが悪用:CVE-2024-3400

Threat Report

Silobreaker-CyberAlert

Palo Alto製ファイアウォールのゼロデイを国家支援型アクターが悪用:CVE-2024-3400

佐々山 Tacos

佐々山 Tacos

2024.04.15

Palo Alto製ファイアウォールのゼロデイを国家支援型アクターが悪用:CVE-2024-3400

(情報源:SecurityWeekBleepingComupter Wallarm

先週金曜に開示されたPalo Alto Networks製ファイアウォールのゼロデイCVE-2024-3400が3月26日から悪用されていたことについて、Volexityが報告。この攻撃の実行者は「UTA0218」として追跡されており、同社によれば、UTA0218は国家の支援を受けて活動する脅威アクターの可能性が高いという。

CVE-2024-3400:脆弱性の概要

悪用が封じられている脆弱性CVE-2024-3400は、Palo Alto Networks社製ソフトウェアPAN-OSの機能「GlobalProtect」におけるコマンドインジェクションの脆弱性で、CVSSスコアは10/10。認証されていない攻撃者に悪用されると、影響を受けるファイアウォール上でのroot権限による任意コードの実行が可能になる恐れがあると説明されている。

12日に公開され、14日に更新された公式アドバイザリによれば、PAN-OSのバージョン10.2、11.0、11.1を実行中で、GlobalProtecゲートウェイまたはGlobalProtecポータルのいずれか(もしくは上記両方)が構成されていて、かつデバイステレメトリ機能が有効になっているアプライアンスが影響を受けるとされる(※)。

(※)その後現地時間17日にアドバイザリが更新され、デバイステレメトリ機能が有効でなくても影響を受けることが明かされている。

本記事執筆時点で同脆弱性のパッチはまだリリースされておらず、Palo Alto Networksからは緩和策が提供されているのみ。修正バージョンの公開は、4月14日(現地日付)頃に予定されている*。

*その後日本時間15日にホットフィックス第一弾がリリースされている:

国家支援型アクターが悪用か

Volexityは12日に公開したレポートにおいて、今回の悪用を同社が「UTA0218」というエイリアスで追跡するアクターによるものだと報告した。CVE-2024-3400のような性質の脆弱性を悪用するのに必要なリソースや、狙われている標的のタイプ、また悪用後の活動において見受けられた技能を踏まえ、同社はUTA0218が「国家に支援されている脅威アクター」である可能性が高いと評価しているという。

一方でPalo Alto Networksもブログ記事において、同脆弱性の初期の悪用を「Operation MidnightEclipse」という名称のもと追跡しており、同社がこれまでに分析した既知の悪用はいずれも単一の脅威アクターによるものだと述べている。

UTA0218の動き

UTA0218は3月26日以降、複数の組織を狙ったCVE-2024-3400の悪用の試みに成功しており、4月10日にはファイアウォールデバイスへの有害ペイロードの展開を成功させるのが観測されている。同アクターはデバイスを侵害後、被害組織の内部ネットワークへのアクセスを円滑化するため、自らが制御するリモートサーバーから追加でツールをダウンロードしていたと、Volexityは説明。そしてネットワーク中で素早くラテラルムーブメントを行い、機微な認証情報やその他のファイルを抜き取っていたという。

ある攻撃事例においては、UTA0218はActive Directoryのデータベース、キーデータ、Windowsのイベントログ、ログイン情報、クッキー、ブラウザデータを盗み取ったほか、保存された認証情報の復号にも成功している。

バックドア「UPSTYLE」とGo言語ツールGOSTの使用

観測された攻撃のうち2件において、VolexityはUTA0218がPythonベースのバックドア「UPSTYLE」のダウンロードおよび実行を試みるのを観測。これは、侵害されたデバイス上で追加のコマンドを実行するために使われるものだという。なおUTA0218は同バックドアのファイル「update.py」をCVE-2024-3400を介してダウンロードおよび実行しようとして失敗する様子が観測されているが、Volexityはこのファイルを復元し、分析結果をブログで報告している。

UPSTYLEだけでなく、UTA0218はPythonで書かれたリバースシェルとオープンソースのSSHリバースシェルを展開し、GOST(GO Simple Tunnel)などのリバースプロキシツールをダウンロードして構成データを抜き取っている様子も観測されているという。

Palo AltoもVolexityも悪用急増の可能性を警告

Palo Alto NetworksもVolexityも、それぞれのブログ記事公開時点(12日)から以後数日間にわたって、UTA0218やその他の脅威アクターによるCVE-2024-3400の悪用が急増する可能性があると警告している。

これとは別にWallarmも14日にブログ記事を公開し、同社が初めて悪用を検出した12日以後活動量の大幅な増加が見られ、1時間に約500件の新たな攻撃が記録されている状況だと報告。継続的なモニタリング実施および臨機応変なセキュリティ対策の実施の緊急性が強調されていると注意喚起した。同社はまた、GitHubで一時公開されていたPoCが他のリソースやプラットフォームでもすでに拡散されていることにも触れている。

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ