據BleepingComputer消息，自 3 月 26 日以來，疑似受國家支持的黑客一直在利用 Palo Alto Networks 防火牆中的零日漏洞入侵企業或組織內部網絡以竊取數據和憑證。該漏洞被追蹤爲 CVE-2024-3400。

由于該漏洞正被用于攻擊，Palo Alto Networks 決定披露該漏洞並發布緩解措施，以便客戶在補丁完成之前保護自己的設備。據悉，補丁已于 4 月 14 日發布。

發現該零日漏洞的 Volexity 公司在公布的報告中提供了更多細節，該公司以 UTA0218 爲代號跟蹤這一惡意活動，並根據開發和利用這種性質的漏洞所需的資源、該行爲者所針對的受害者類型，以及安裝 Python 後門和進一步訪問受害者網絡所顯示的能力，評估認爲 UTA0218 極有可能是受國家支持的攻擊者在實施攻擊。

Volexity 稱，它于 2024 年 4 月 10 日首次在 Palo Alto Networks PAN-OS 的 GlobalProtect 功能中檢測到零日漏洞利用，並向供應商通報了這一活動。第二天，Volexity 觀察到另一起對同一零日漏洞進行了 "相同的利用"，創建了一個反向Shell，回到攻擊者的基礎架構，並將更多有效載荷下載到設備上。

該公司的進一步調查表明，攻擊者至少從 3 月 26 日開始利用 CVE-2024-3400 零日漏洞，但直到 4 月 10 日才部署有效載荷。

其中一個已安裝的有效載荷是一個名爲 "Upstyle "的定制植入程序，專爲 PAN-OS 設計，可作爲後門在被入侵設備上執行命令。該後門通過一個 Python 腳本安裝，該腳本會在"/usr/lib/python3.6/site-packages/system.pth "中創建一個路徑配置文件。

用于安裝後門的初始 Python 有效負載

根據 Python 文檔，Python 使用路徑配置文件爲 sys.path 變量添加額外的目錄，該變量用于搜索要加載的模塊。但如果 .pth 文件以 Import 開頭，後面跟著空格或制表符，那麽每次 Python 啓動時都會執行以下代碼。system.pth 文件就是 Upstyle 後門，Volexity 稱它會監控網絡服務器的訪問日志，以提取要執行的 base64 命令。下圖說明了 Upstyle 後門的運行方式。

pstyle後門運作方式

除後門外，Volexity 還觀察到攻擊者部署了其他有效載荷，以啓動反向Shell、滲出 PAN-OS 配置數據、刪除日志文件、部署名爲 GOST 的 Golang 隧道工具。

Volexity還觀察到攻擊者轉向內部網絡以竊取敏感的 Windows 文件，如 "活動目錄數據庫 (ntds.dit)、密鑰數據 (DPAPI) 和 Windows 事件日志 (Microsoft-Windows-TerminalServices-LocalSessionManager%4Operational.evtx)"。

此外，攻擊者還竊取了特定目標設備上的 Google Chrome 和 Microsoft Edge 文件，包括登錄數據、Cookie 和本地狀態。這些文件包含保存的憑據和身份驗證 cookie，可能允許攻擊者破壞其他設備。

Volexity 稱有兩種方法可用于檢測 Palo Alto Networks 防火牆是否被入侵。其中一種方法目前仍在與 Palo Alto Networks 合作研究，因此還沒有可共享的信息。另一種方法則是

生成技術支持文件，該文件可用于生成包含取證工件的日志，通過分析這些工件可檢測到入侵行爲。

監控Direct-to-IP HTTP 的網絡活動、源于 GlobalProtect 設備的 SMB/RDP 連接、包含浏覽器數據的 SMB 文件傳輸，以及從設備向 worldtimeapi[.]org/api/timezone/etc/utc 發送的 HTTP 請求。

參考來源：

https://www.bleepingcomputer.com/news/security/palo-alto-networks-zero-day-exploited-since-march-to-backdoor-firewalls/