RedTail, explota vulnerabilidad crítica en Firewalls de Palo Alto

Los actores de amenazas detrás del malware de minería de criptomonedas RedTail han añadido a su arsenal de exploits una reciente vulnerabilidad que afecta los firewalls de Palo Alto Networks. Según la empresa de seguridad Akamai, este malware ahora también incluye nuevas técnicas antianálisis. Los investigadores de seguridad han revelado que los atacantes están utilizando grupos privados de criptominería para tener mayor control sobre los resultados, a pesar de los altos costos operativos y financieros. La secuencia de infección utiliza una vulnerabilidad en PAN-OS (CVE-2024-3400), la cual ya ha sido parcheada, permitiendo a un atacante no autenticado ejecutar código arbitrario con privilegios de root en el firewall.

Detalle de la vulnerabilidad CVE-2024-3400

La vulnerabilidad de día cero en los productos basados en PAN-OS de Palo Alto, publicada el 11 de abril de 2024, permite a los atacantes crear un archivo arbitrario que eventualmente posibilita la ejecución de comandos con privilegios de usuario root. Esta vulnerabilidad se explota al manipular el valor de la cookie SESSID, lo que induce a PAN-OS a crear un archivo con el nombre especificado en el valor de la cookie. Utilizando una técnica de recorrido de ruta, el atacante puede controlar tanto el nombre del archivo como el directorio en el que se almacena, lo que le da la capacidad de ejecutar código arbitrario con privilegios elevados. La vulnerabilidad está presente en la función GlobalProtect de ciertas versiones de PAN-OS.

Otros exploits

Este cryptominero se propaga utilizando al menos seis exploits web diferentes, dirigidos a dispositivos de Internet de las cosas (IoT) (como enrutadores TP-Link), aplicaciones web (incluido el sistema de gestión de contenidos de origen chino ThinkPHP), SSL-VPN, y dispositivos de seguridad como Ivanti Connect Secure y Palo Alto GlobalProtect.

Cabe destacar que los servidores de malware específicos que sirvieron para esta variante, estuvieron activos desde principios de abril de 2024 hasta principios de mayo de 2024, y se observó explotación de PAN-OS desde al menos el 21 de abril .

Para más detalles sobre el exploit publicado visita nuestro Portal CCI

El criptomonero

El análisis de un archivo binario descargado confirmó la presencia de un criptominero, identificado como una variante de XMRig, empaquetado con UPX. A diferencia de versiones anteriores, esta variante no realiza llamadas a un C&C para recuperar la configuración de minería, sino que incorpora el código de XMRig dentro de su propio código, añadiendo lógica personalizada antes y después de su ejecución. Se destacó la incorporación de una configuración de minería cifrada, que se descifra durante la ejecución del malware. Este enfoque permite a los investigadores encontrar la configuración de minería en la memoria, evitando un complejo proceso de ingeniería inversa. Además, la configuración del minero no incluye una dirección de billetera, lo que indica que los actores de amenazas están operando sus propios grupos de minería o servidores proxy en lugar de usar servicios públicos. Este método proporciona un mayor control sobre los resultados de la minería, aunque conlleva mayores costos operativos y financieros debido al mantenimiento de un servidor privado. Esta sofisticación sugiere una operación de criptominería bien organizada y financiada.

Ilustración 1: Cadenas conocidas XMR incrustadas en el código
Fuente: Akamai

Apreciación

La sofisticación del malware de criptominería RedTail es notable, lo que sugiere el respaldo de un grupo patrocinado por un Estado-nación debido a las importantes inversiones en personal, infraestructura y técnicas de ofuscación necesarias para su operación. Este nivel de refinamiento implica pruebas y evolución constantes para asegurar su éxito, indicando un apoyo financiero sustancial. RedTail emplea grupos privados para mayor control y seguridad, similar a las tácticas del grupo Lazarus, lo que ha generado especulaciones sobre la atribución del ataque. El equipo de VulDB CTI observó actividad de explotación de la vulnerabilidad PAN-OS (CVE-2024-3400) vinculada potencialmente a Lazarus, aunque sin detalles adicionales. Estas vulnerabilidades en PAN-OS y otras, como en Ivanti Connect Secure, no solo facilitan el acceso a redes internas, sino que también pueden ser explotadas para generar ingresos adicionales, subrayando la importancia de mantener sistemas actualizados y seguros.

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
• Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Proteger el protocolo RDP:
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Si no es posible cerrarlos, límite las direcciones de origen que pueden acceder a los puertos.
  • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
  • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
  • Habilitar la autenticación de nivel de red (NLA).
• Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
• Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.