CVE-2024-9474 Exploited: LITTLELAMB.WOOLTEA Backdoor Discovered in Palo Alto Devices
2024/12/24 SecurityOnline — Palo Alto Networks のファイアウォールを標的とする、高度なバックドア LITTLELAMB.WOOLTEA を、Northwave Cyber Security が特定した。このバックドアは、侵害された Palo Alto Networks デバイスのフォレンジック調査中に発見されたものだという。この攻撃の直前に公開された、脆弱性 CVE-2024-9474 が悪用されるという状況にある。それをエントリ ポイントとして用いる脅威アクターが、bwmupdate という悪意のスクリプトを展開し、バックドアをインストールしている。
Northwave は、「このバックドアは “execve()” を使用して実行され、実行中の正当な” logd” プロセスが、すべて悪意のプロセスに置き換えられる」と述べている。
LITTLELAMB.WOOLTEA バックドアは、その動作において、ステルス性を体現している。正当な “logd” サービスを装い、”rc.local” ファイルを変更し、RedHat パッケージ・マネージャーのコンフィグを変更することで永続性を実現し、システムのアップグレード後も存続できるようにしている。
さらに、このバックドアは、”nginx” プロセスに動的ライブラリを挿入し、”accept()” 関数をハイジャックする。それにより、攻撃者は 48-Byte の “magic knock” を使用して、別のポートを開くことなく、秘密の通信を確立できる。つまり、既存の開いているポートを使用するため、検出がさらに困難になる。
このバックドアの機能は、以下のとおりである。
- ターゲット・システム上のファイルの Read/Write。
- リモート・コマンド実行用のシェル・アクセスの提供。
- 単一/複数のポートを介したネットワーク・トンネルを確立し、他の侵害されたノードとの安全な通信チャネルを有効化する。
- 秘密のデータ転送用に、SOCKS5 プロキシを設定する。
Northwave の説明は、「このバックドアは、シェル上でのコマンド実行をサポートしている。それにより、”stdout” または “stderr” からの出力がユーザーに転送される。つまり侵害したデバイスに対する堅牢な制御を保証している」というものだ。
さらに LITTLELAMB.WOOLTEA バックドアは、きわめて汎用性の高い通信プロトコルを実装している。一意の識別子を用いて、オペレータ接続とノード間通信を区別し、感染させたデバイスのネットワーク全体で、階層的な Command and Control を可能にしている。
現時点において、攻撃者の身元は未確認であるが、LITTLELAMB.WOOLTEA の複雑さを考慮すると、国家による攻撃が疑われる。Northwave は、「脆弱性の詳細が公開された直後に、国家に支援されると思われる攻撃者が、脆弱性 CVE2024-9474 を悪用して、Palo Alto ネットワーク・デバイスに侵入した」と述べている。
なんというか、バックドアのお手本のような LITTLELAMB.WOOLTEA ですね。すでに Palo Alto から、脆弱性 CVE-2024-9474 に対するアドバイザリが提供されていますので、ご利用のチームは、ご確認ください。よろしければ、Palo Alto で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.