【安全资讯】CVE-2024-9474被利用：Palo Alto设备中发现LITTLELAMB.WOOLTEA后门

概要：

网络安全公司Northwave近日发现了一种复杂的后门程序LITTLELAMB.WOOLTEA，专门针对Palo Alto Networks的防火墙。该后门是在对一台被攻陷的Palo Alto设备进行取证调查时被发现的，攻击者利用了CVE-2024-9474这一在攻击前不久公开披露的漏洞。此事件凸显了网络安全威胁的复杂性与隐蔽性。

主要内容：

攻击者通过CVE-2024-9474的漏洞，部署了名为bwmupdate的恶意脚本，从而安装了后门。Northwave指出，该后门通过execve()命令执行，完全替换了任何正在运行的合法logd进程。LITTLELAMB.WOOLTEA在操作上表现出极高的隐蔽性，伪装成合法的logd服务，并通过修改rc.local文件和调整RedHat包管理器的配置，实现了持久化，确保在系统升级后仍能存活。

此外，该后门还向nginx进程注入了动态库，劫持了accept()函数，使攻击者能够使用48字节的“魔法敲门”建立隐秘通信，而无需打开单独的端口，从而进一步增加了检测的难度。其功能包括：读取和写入目标系统上的文件，提供远程命令执行的shell访问，建立单端口或多端口网络隧道，设置SOCKS5代理以实现隐秘的数据传输。

Northwave表示，该后门支持在shell中运行命令，并将stdout或stderr的输出转发给用户，确保对被攻陷设备的强大控制。虽然尚未确认攻击者身份，但LITTLELAMB.WOOLTEA的复杂性暗示其可能与某个国家级威胁行为者有关。