كيف استولت فرع وهمي على الشبكة: نظرة من الداخل على اختراق شبكة UAT-8616 باستخدام تقنية SD-WAN.

شبكات SD-WAN بلغة بسيطة: لماذا هذا الاختراق مهم

في الفيديو، يشرح إد وودروف من قناة Low Level TV ما يعتبره أكثر الاختراقات تطوراً التي قام بتغطيتها: اختراق حقيقي لأنظمة Cisco SD-WAN من قبل جهة تهديد تسمى UAT-8616، والمعروفة أيضاً باسم Salt Typhoon.

لتوضيح السياق، يشرح أولاً مفهوم SD-WAN بشكل عام:

• النموذج القديم: كانت الشركات التي لديها فروع متعددة تعتمد تاريخياً على خطوط مؤجرة خاصة (T1/T3) ثم MPLS (تبديل تسميات البروتوكول المتعدد) لربط الفرع A بالفرع B عبر شبكات خاصة وغير مشفرة.
• تحديث SD-WAN: تسمح شبكات المنطقة الواسعة المعرفة بالبرمجيات (SD-WAN) للفروع بالتواصل عبر أي وسيلة نقل (الإنترنت، الروابط الخاصة، إلخ) مع تحديد مركزي لكيفية توجيه حركة المرور. إنها أكثر مرونة ويمكن أن تستخدم التشفير والتوجيه القائم على السياسات.

نظرًا لأن شبكات SD-WAN غالبًا ما تكون في حافة البنية التحتية الحيوية - مثل مرافق المياه والطاقة - فإن أمان وحدات التحكم ومستويات الإدارة الخاصة بها أمر بالغ الأهمية. وهذا بالضبط ما استهدفته UAT-8616.

من هي UAT-8616 / Salt Typhoon؟

يعتمد إد في سرد القصة على التقارير العامة من Cisco Talos حول جهة تهديد صينية:

• UAT-8616، والمعروفة أيضاً باسم Salt Typhoon، تم رصدها وهي تستغل نقاط الضعف في اليوم الصفري في الأجهزة الطرفية والشبكات.
• تشمل أهدافها القطاعات الحيوية في الولايات المتحدة وحول العالم، وخاصة بيئات تكنولوجيا التشغيل (OT) مثل:
  • مرافق المياه
  • شركات الطاقة
  • شبكات صناعية وبنية تحتية أخرى

في هذه الحملة، استغلت نقاط الضعف في أنظمة Cisco Catalyst SD-WAN للحصول على وصول عميق ومستمر إلى شبكات المؤسسات.

الخطوة 1: تزوير فرع عبر ربط SD-WAN

تدير وحدات تحكم SD-WAN العديد من الفروع. عندما ينضم فرع جديد، يجب أن يرتبط بوحدة التحكم وأن يثبت أنه ينتمي إلى المؤسسة. عادةً ما يتم ذلك باستخدام:

• تبادل المفاتيح العامة/الخاصة، أو
• مفاتيح متماثلة مشتركة مسبقًا

الفكرة: يقول فرع جديد، "أنا جزء من الشركة؛ هذا هو الدليل"، وتقبل وحدة التحكم ذلك في مستوى الإدارة/التحكم.

وفقًا لتقرير Cisco Talos الذي استشهد به إد:

• استغلت UAT-8616 نقطة ضعف في آلية ربط SD-WAN.
• التفاصيل ليست عامة - لا يوجد دليل على المفهوم، ولا يُعرف بالضبط الخطأ في التشفير أو البروتوكول.

ما هو معروف من تقرير Talos، كما هو موضح في الفيديو:

• تمكن المهاجمون من إنشاء فرع مزيف في شبكة SD-WAN.
• ظهر هذا العقد المزيف كأي فرع شرعي آخر على خريطة الشبكة.
• من هناك، يمكنهم:
  • الإعلان عن مسارات IP
  • حقن واستقبال حركة مرور الشبكة
  • الانضمام إلى مستوى الإدارة/التحكم مع امتيازات محدودة

لذلك، كان أول نجاح للمهاجمين هو أن يصبحوا بهدوء مجرد فرع آخر - مع وصول كافٍ للوصول إلى وحدات التحكم، ولكن ليس بعد إلى مستوى المستخدم المتميز.

الخطوة 2: تخفيض إصدار البرنامج الثابت لإحياء CVE قديم

بمجرد دخولهم إلى شبكة SD-WAN كمشاركين بامتيازات منخفضة، انتقلت UAT-8616 إلى تصعيد الامتيازات. يسلط إد الضوء على جزء ذكي بشكل خاص: لقد نفذوا هجومًا لتخفيض إصدار البرنامج الثابت.

لماذا يتم تخفيض الإصدار؟

• البرنامج (من الناحية النظرية) أكثر أمانًا بمرور الوقت حيث يتم اكتشاف نقاط الضعف وإصلاحها.
• غالبًا ما يحتوي البرنامج الثابت الأقدم على أخطاء معروفة وموثقة - مثل CVEs من السنوات السابقة.

في هذه الحالة، يشير إد إلى:

• CVE-2022-20755 - نقطة ضعف في واجهة سطر الأوامر (CLI) لبرنامج Cisco SD-WAN.
  • يمكن الوصول إليها فقط من قبل مستخدم محلي مصادق عليه.
  • يسمح بالتصعيد إلى مستخدم متميز.

من القصة كما يرويها:

1. قام المهاجمون، وهم يتصرفون كفرع مزيف، بالحصول على وصول منخفض الامتياز إلى مستوى الإدارة.
2. قاموا بتخفيض إصدار أنظمة SD-WAN المستهدفة (vCenters / وحدات التحكم) إلى إصدار برنامج ثابت لا يزال يحتوي على CVE-2022-20755.
3. مع تشغيل هذا الإصدار الأقدم، يمكنهم تفعيل الخطأ القديم للتصعيد إلى مستخدم متميز.

يشير إد إلى أن هذا هو السبب الرئيسي الذي يدفع العديد من البائعين إلى محاولة حظر تخفيض إصدار البرنامج الثابت:

• إذا كان لدى المهاجم بالفعل بعض الوصول، فإن القدرة على العودة إلى التعليمات البرمجية الضعيفة تمنحهم بشكل فعال قاعدة أمان أقدم وأضعف للاستغلال.

الخطوة 3: اجتياز المسار وإساءة استخدام Vshell للوصول إلى المستخدم المتميز

لتوضيح مسار التصعيد، يتعمق إد في مثال على اجتياز المسار الكلاسيكي، ثم يربطه بكيفية عمل خطأ Cisco.

ما هو اجتياز المسار؟

يرسم سيناريو مبسطًا:

• تأخذ أداة الويب مسارًا يوفره المستخدم وتقوم بخدمة ملف من /var/www/uploads/<user_path>.
• إذا لم يكن الكود يقوم بتنظيف الإدخال، فيمكن للمستخدم توفير ../../../../etc/passwd بدلاً من اسم ملف غير ضار.
• ثم يفتح النظام /etc/passwd، وهو ملف حساس، على الرغم من أن هذا لم يكن مقصودًا.

هذا هو جوهر اجتياز المسار: استخدام تسلسلات مثل ../ لـ الصعود في شجرة الدليل والوصول إلى الملفات خارج المنطقة المسموح بها.

كيف تم ربط ذلك باستغلال Cisco SD-WAN

وفقًا لوصف الثغرة الأمنية التي لخصها إد:

• كانت المكونات الضعيفة هي Vshell، وهي بيئة CLI الخاصة بـ SD-WAN.
• إذا كان أي جزء يعتمد على تلف الذاكرة أثناء التحليل، فيمكن أن يساعد ذلك.
• ولكن إذا كانت المشكلة الأساسية هي التحقق من صحة الإدخال ومنطق معالجة المسار، فهذا لا يزال متروكًا للمبرمج، حتى في Rust.

كما يشير إلى قيد عملي:

• تعمل العديد من أجهزة التوجيه من فئة شركات الاتصالات وأنظمة SD-WAN على أنظمة تشغيل في الوقت الفعلي (RTOS) مع متطلبات أداء وجدولة صارمة.
• لا يزال Rust في الوقت الفعلي مجالًا قيد التطوير. توجد مشاريع مثل Embassy و Arctic، ولكنها ليست بعد مجالًا عالميًا أو ناضجًا لجميع البائعين.

لذلك، في هذا المثال، لا يعتبر Rust بمثابة حل سحري؛ يبدو أن المشاكل تتعلق بالتصميم والمنطق بدلاً من مجرد أمان الذاكرة.

ملخص نهائي

في حلقة Low Level TV هذه، يشرح إد وودروف هجومًا متطورًا في العالم الحقيقي ضد أنظمة Cisco SD-WAN من قبل جهة التهديد UAT-8616 (Salt Typhoon). جمعت الحملة بين:

• عيب في الربط/المصادقة سمح للمهاجمين بإنشاء فرع مزيف في شبكة SD-WAN الخاصة بالشركة.
• تخفيض إصدار البرنامج الثابت لإحياء CVE-2022-20755، وهي ثغرة معروفة في واجهة سطر الأوامر (CLI) لتصعيد الامتيازات.
• اجتياز المسار في Vshell لتسريب سر IPC وتنفيذ الأوامر في النهاية كـ مستخدم متميز.

النتيجة: تم تحويل موطئ قدم بامتيازات منخفضة كفرع مزيف إلى تحكم كامل في وحدات تحكم SD-WAN، مع تأثير محتمل على كل فرع من فروع المؤسسة المستهدفة.

تشمل النقاط الرئيسية التي يطرحها إد تحديث برنامج SD-WAN الثابت، ومراقبة الأقران وأسماء المستخدمين غير المتوقعة، وإدراك أنه في حين أن اللغات الأكثر أمانًا مثل Rust تساعد في أمان الذاكرة، إلا أنها لا تحل تلقائيًا عيوب التصميم على المستوى التشفيري أو المنطقي. يوضح تسلسل الهجمات الذي يصفه كيف يمكن أن تتحد نقاط الضعف المتراكمة - الربط، وقدرة التخفيض، وأخطاء CLI - لتشكل أحد أكثر الاختراقات العملية تطوراً التي شوهدت ضد البنية التحتية للشبكة واسعة النطاق.