# Operation MidnightEclipse ## Descrição Operation MidnightEclipse foi uma campanha conduzida em março e abril de 2024 que envolveu a exploração do zero-day [[cve-2024-3400|CVE-2024-3400]] - uma vulnerabilidade crítica de injeção de comandos (CVSS 10.0) no recurso GlobalProtect do PAN-OS da Palo Alto Networks. A Volexity identificou a exploração ativa em 10 de abril de 2024, e a Palo Alto Networks divulgou e públicou patch em 14 de abril. A campanha foi atribuída com alta confiança a um ator de ameaça patrocinado por estado - denominado UTA0218 pela Volexity - com base na sofisticação das técnicas e no interesse nos alvos. O modus operandi envolvia a exploração do GlobalProtect VPN (um dos sistemas de acesso remoto mais amplamente utilizados por organizações globais) para obter execução de comandos como root no appliance PAN-OS. Após acesso inicial, o grupo implantou o backdoor [[s1164-upstyle|UPSTYLE]] - um web shell em Python baseado em Apache - e realizou movimento lateral extensivo usando SMB ([[t1021-002-smbwindows-admin-shares|T1021.002]]), exfiltração de credenciais via NTDS ([[t1003-003-ntds|T1003.003]]) e staging de dados locais ([[t1074-001-local-data-staging|T1074.001]]). A campanha destaca a vulnerabilidade de appliances de segurança de rede (VPN, firewalls) como superfície de ataque primária para atores sofisticados - um padrão crescente onde o "protetor" se torna o vetor de comprometimento. ## Impacto A exploração do CVE-2024-3400 afetou estimados 22.000 appliances PAN-OS expostos à internet durante a jánela de zero-day. Organizações que utilizavam PAN-OS como gateway VPN principal - abrangendo tecnologia, telecomúnicações, governo e infraestrutura crítica - estavam expostas a comprometimento total da rede, incluindo exfiltração de credenciais de domínio e acesso a sistemas internos críticos. A gravidade foi classificada como máxima (CVSS 10.0) dado que qualquer usuário não autenticado podia comprometer o appliance. ## Relevância LATAM/Brasil Palo Alto Networks GlobalProtect é amplamente utilizado por grandes corporações e órgãos governamentais no Brasil. A jánela de exploração zero-day (antes do patch de 14 de abril de 2024) expôs organizações brasileiras usuárias de PAN-OS que não aplicaram o patch rapidamente. Organizações que ainda não verificaram logs do GlobalProtect para atividade anômala durante março-abril de 2024 devem conduzir revisão forense. O padrão de exploração de appliances VPN é recorrente - [[cve-2023-4966|CVE-2023-4966]] (Citrix), [[cve-2024-3400|CVE-2024-3400]] (Palo Alto) e vulnerabilidades Ivanti demonstram a tendência de atores APT focarem em equipamentos de borda. ## Técnicas Utilizadas - [[t1005-data-from-local-system|T1005 - Data from Local System]] - [[t1078-002-domain-accounts|T1078.002 - Domain Accounts]] - [[t1003-003-ntds|T1003.003 - NTDS]] - [[t1059-004-unix-shell|T1059.004 - Unix Shell]] - [[t1090-proxy|T1090 - Proxy]] - [[t1559-inter-process-communication|T1559 - Inter-Process Commúnication]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1078-valid-accounts|T1078 - Valid Accounts]] - [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] - [[t1584-003-virtual-private-server|T1584.003 - Virtual Private Server]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1588-002-tool|T1588.002 - Tool]] - [[t1053-003-cron|T1053.003 - Cron]] - [[t1021-002-smbwindows-admin-shares|T1021.002 - SMB/Windows Admin Shares]] - [[t1074-001-local-data-staging|T1074.001 - Local Data Staging]] ## Software Utilizado - [[s1164-upstyle|UPSTYLE]] --- --- *Fonte: [MITRE ATT&CK - C0048](https://attack.mitre.org/campaigns/C0048)* *Fonte: Volexity - "Zero-Day Exploitation of Unauthenticated Remote Code Execution Vulnerability in GlobalProtect (CVE-2024-3400)" (Abril 2024)* *Fonte: Palo Alto Networks - Unit 42 Threat Brief - CVE-2024-3400 (Abril 2024)*