Jak se falešná pobočka zmocnila sítě: Podrobný pohled na hackerský útok na systém UAT-8616 a jeho SD-WAN.

SD-WAN jednoduše řečeno: Proč je tento útok důležitý

Ve videu Ed Woodruff z Low Level TV popisuje, co považuje za nejsofistikovanější útok, kterým se zabýval: skutečný útok na systémy Cisco SD-WAN ze strany hrozby UAT-8616, známé také jako Salt Typhoon.

Aby lépe vysvětlil situaci, nejprve stručně popisuje SD-WAN:

• Starý model: Společnosti s mnoha pobočkami se historicky spoléhaly na privátní pronajaté linky (T1/T3) a později na MPLS (Multi-Protocol Label Switching) pro propojení pobočky A s pobočkou B přes privátní, nešifrované sítě.
• Aktualizace na SD-WAN: Softwarově definované sítě WAN umožňují pobočkám komunikovat přes jakýkoli typ připojení (internet, privátní linky atd.), přičemž centrálně definují, jak se směruje provoz. Je to flexibilnější a umožňuje používat šifrování a směrování založené na zásadách.

Protože se SD-WAN často nachází na okraji kritické infrastruktury – jako jsou vodohospodářské a energetické podniky – je bezpečnost jeho kontrolerů a řídicích rovin klíčová. A právě na to se UAT-8616 zaměřil.

Kdo je UAT-8616 / Salt Typhoon?

Ed vychází z veřejných zpráv společnosti Cisco Talos o čínské hrozbě:

• UAT-8616, známá také jako Salt Typhoon, byla pozorována při zneužívání zranitelností typu „zero-day“ v okrajových zařízeních a síťových zařízeních.
• Mezi jejich cíle patří kritické sektory infrastruktury v USA i po celém světě, zejména prostředí operační technologie (OT), jako jsou:
  • Vodohospodářské podniky
  • Energetické společnosti
  • Další průmyslové a infrastrukturní sítě

V rámci této kampaně zneužili slabá místa v systémech Cisco Catalyst SD-WAN, aby získali hluboký a trvalý přístup do podnikových sítí.

Krok 1: Vytvoření falešné pobočky pomocí SD-WAN peeringu

Kontrolery SD-WAN spravují mnoho poboček. Když se připojí nová pobočka, musí se propojit s kontrolerem a prokázat, že patří do organizace. Obvykle se k tomu používá:

• Výměna veřejných/soukromých klíčů nebo
• Předem sdílené symetrické klíče

Myšlenka je taková, že nová pobočka řekne: „Jsem součástí společnosti; zde je důkaz,“ a kontroler ji přijme do řídicí roviny.

Podle zprávy společnosti Cisco Talos, na kterou se Ed odvolává:

• UAT-8616 zneužil zranitelnost v mechanismu SD-WAN peeringu.
• Podrobnosti nejsou veřejně dostupné – neexistuje žádný demonstrační kód a přesný kryptografický nebo protokolární problém není znám.

Z toho, co je uvedeno ve zprávě společnosti Talos, jak je popsáno ve videu:

• Útočníci byli schopni vytvořit falešnou pobočku v síti SD-WAN.
• Tento falešný uzel se na síťové mapě jevil jako jakákoli jiná legitimní pobočka.
• Odtud mohli:
  • Inzerovat IP trasy
  • Vkládat a přijímat síťový provoz
  • Připojit se k řídicí rovině s omezenými oprávněními

Prvním úspěchem útočníků tedy bylo tiché začlenění se jako další pobočka – s dostatečným přístupem k kontrolerům, ale ještě ne s přístupem na úrovni administrátora.

Krok 2: Snížení verze firmwaru pro obnovení staré zranitelnosti (CVE)

Jakmile se UAT-8616 dostal do sítě SD-WAN jako uživatel s nízkými oprávněními, začal se snažit o eskalaci oprávnění. Ed zdůrazňuje zvláště chytrý krok: provedl útok snížením verze firmwaru.

Proč snížit verzi firmwaru?

• Software je (teoreticky) v průběhu času bezpečnější, protože se nacházejí a opravují zranitelnosti.
• Starší verze firmwaru často stále obsahují známé, zdokumentované chyby – jako jsou CVE z předchozích let.

V tomto případě Ed poukazuje na:

• CVE-2022-20755 – zranitelnost v CLI (rozhraní příkazového řádku) softwaru Cisco SD-WAN.
  • Přístupné pouze ověřenému lokálnímu uživateli.
  • Umožňuje eskalaci oprávnění na úroveň administrátora.

Podle toho, jak Ed popisuje příběh:

1. Útočníci, kteří se chovají jako falešná pobočka, získali přístup do řídicí roviny s nízkými oprávněními.
2. Snížili verzi firmwaru cílových systémů SD-WAN (vCenters / kontrolery) na verzi, která stále obsahovala CVE-2022-20755.
3. Díky této starší verzi firmwaru mohli aktivovat starou chybu a eskalovat oprávnění na úroveň administrátora.

Ed poznamenává, že to je klasický důvod, proč se mnoho výrobců snaží blokovat snižování verze firmwaru:

• Pokud má útočník již nějaký přístup, možnost vrátit se ke zranitelnému kódu mu v podstatě poskytne starší, slabší úroveň zabezpečení, kterou může zneužít.

Krok 3: Path Traversal a zneužití Vshell pro získání přístupu na úrovni administrátora

Aby vysvětlil cestu eskalace oprávnění, Ed se ponořuje do příkladu klasické zranitelnosti path traversal a poté ji spojuje s tím, jak fungovala chyba Cisco.

Co je to path traversal?

Nastíní zjednodušený scénář:

• Webový nástroj přijímá cestu zadanou uživatelem a zobrazuje soubor z /var/www/uploads/<user_path>.
• Pokud kód nevytváří vstupní data, může uživatel zadat ../../../../etc/passwd místo názvu souboru.
• Tím se získá přístup k souboru /etc/passwd, který by jinak nebyl přístupný.

Zneužití Vshell

V tomto případě útočníci zneužili zranitelnost path traversal v komponentě Vshell, aby získali přístup k internímu souboru a získali tak citlivé informace.

IPC Secret

Získané informace jim umožnily získat přístup k internímu souboru, který obsahoval důležité informace, jako je heslo pro komunikaci mezi komponentami systému (IPC secret).

Eskalace oprávnění na úroveň administrátora

S pomocí tohoto hesla byli útočníci schopni eskalovat svá oprávnění na úroveň administrátora a získat tak plnou kontrolu nad systémy SD-WAN.

Výsledkem je, že se z počátečního přístupu s nízkými oprávněními, který byl získán jako falešná pobočka, stala plná kontrola nad kontrolery SD-WAN, což mohlo mít dopad na všechny pobočky cílové organizace.

Klíčové poznatky Eda jsou: udržujte SD-WAN firmware aktuální, sledujte neočekávané peeringy a upravené uživatelské jména a uvědomte si, že i když bezpečnější jazyky, jako je Rust, pomáhají s bezpečností paměti, automaticky neřeší kryptografické nebo logické návrhové chyby. Popsaný útok ukazuje, jak se mohou vrstvené slabiny – peering, možnost snížení verze firmwaru a chyby v CLI – spojit a vytvořit jeden z nejsofistikovanějších praktických útoků, jaké byly kdy provedeny na infrastrukturu širokopásmových sítí.