Palo Alto の脆弱性 CVE-2024-3400:XMRig 暗号通貨マイニング・マルウェアの展開

Palo Alto Firewalls Under Attack: Critical Flaw Exploited to Deploy Cryptojacking Malware

2024/04/28 SecurityOnline — いま、Palo Alto Networks の人気ファイアウォール・アプライアンスが、サイバー犯罪者の標的になっている。新たに公表された、深刻な脆弱性 CVE-2024-3400 の悪用に成功した攻撃者は、脆弱なファイアウォールをリモートから操作し、広範なデータ流出やシステムの混乱にいたるという懸念がある。この脆弱性は、PAN-OS の SESSID クッキーの操作に起因しており、それぞれのセッション最中に、root レベルのアクセス権を持つファイル作成が、不注意により許可されてしまうというものだ。この欠陥を悪用する攻撃者は、特別な権限やユーザー操作を必要とせずに、bash スクリプトの操作により、悪意のコードを実行できる。したがって、この脆弱性 CVSS 値は 10.0 と評価されている。


広範な悪用とクリプトジャッキング

この脆弱性が公開された直後に、PoC エクスプロイト・コードが表面化し、その後に、積極的な悪用が試みられている。サイバーセキュリティ企業 Cato Networks は、この脆弱性を悪用して XMRig 暗号通貨マイニング・マルウェアをインストールするという、いくつかの試みを傍受したと報告している。

ldr.sh bashスクリプト

通常において攻撃者たちは、悪意の bash スクリプト “ldr.sh” を、侵害したファイアウォールに配信することで、悪用の連鎖を開始する。このスクリプトは、セキュリティ・サービスを無効化し、既存のマルウェアを削除し、既知の悪意のサーバから XMRig マルウェアをインストールするための経路を確保する。さらに攻撃者は、SSH コンフィグレーションを介して、悪用後のログの削除によりステルス性を確保し、他のアクセス可能なホストへのマルウェア拡散を試みている。

ldr.sh bash script


このエクスプロイトに成功すると、暗号通貨のマイニング操作に用いられる XMRig マルウェアがダウンロードされ、実行される。Golangで書かれた、このマルウェアは、Linux と Windows のプラットフォームにおいて互換性を有している。

Cato Networks の研究者は、「IP アドレスを調査したところ、既知の Sysrv ボットネットに関連していることが判明した。Ghidra などのツールを使用した詳細な分析により、XMRig の操作に関連するコード文字列が明らかになり、また、制御された環境でのテストにより、このマルウェアはマイニング・プロセスを維持するために、外部の DNS リクエストに依存していることが示された」と述べている。

CISAとセキュリティ専門家が警鐘を鳴らす

この事態の深刻さを重視する CISA (Cybersecurity and Infrastructure Security Agency) は、脆弱性 CVE-2024-3400 を KEV (Known Exploited Vulnerabilities) カタログに追加した。つまり、この欠陥を悪用する攻撃者が、すでに積極的に、ユーザー企業を危険にさらしていることが明示されている。

暗号ジャックを超えて さらなる攻撃への布石

直接的な影響は、不正な暗号通貨マイニングに集中しているが、セキュリティ専門家たちが警告するのは、多くのケースにおいて XMRig は、単なる始まりに過ぎないという点だ。この脅威アクターは、ファイアウォールの制御を悪用してネットワークに侵入し、より危険なマルウェアを展開し、企業の機密データを盗み出すことで知られている。

行動への呼びかけ

Palo Alto のファイアウォール製品を使用している組織に、強く推奨されるのは、すでに提供されているパッチを直ちに適用することだ。プロセスが不明な場合には、 Palo Alto Networks のサポ ートまで、IT 管理者が問い合わせることを、お勧めする。

Palo Alto の脆弱性 CVE-2024-3400 については、今回で5本目の記事となります。早く沈静化してほしいと思いますが、まだ、続報が出てきそうな気もします。よろしければ、Palo Alto で検索も、ご利用ください。

04/23:Palo Alto の CVE-2024-3400:Siemens 製品に影響
04/19:Palo Alto の CVE-2024-3400:脆弱なデバイス 22,500 台
04/17:脆弱性 CVE-2024-3400:いくつかの PoC が登場している
04/13:CVE-2024-3400:公開の3週間前から Python バックドア