Wie eine gefälschte Zweigstelle das Netzwerk übernahm: Ein Blick hinter die Kulissen des SD-WAN-Hacks von UAT-8616.

SD-WAN einfach erklärt: Warum dieser Hack wichtig ist

In dem Video erläutert Ed Woodruff von Low Level TV, was er als den ausgeklügeltsten Hack bezeichnet, den er bisher behandelt hat: eine reale Kompromittierung von Cisco SD-WAN-Systemen durch den Bedrohungsakteur UAT-8616, auch bekannt als Salt Typhoon.

Um den Kontext zu schaffen, erklärt er zunächst SD-WAN auf hoher Ebene:

• Altes Modell: Unternehmen mit vielen Niederlassungen verließen sich in der Vergangenheit auf private, gemietete Leitungen (T1/T3) und später auf MPLS (Multi-Protocol Label Switching), um Niederlassung A mit Niederlassung B über private, unverschlüsselte Netzwerke zu verbinden.
• SD-WAN-Upgrade: Softwaredefinierte Weitverkehrsnetze ermöglichen es Niederlassungen, über jedes Transportmedium (Internet, private Verbindungen usw.) zu kommunizieren, während zentral definiert wird, wie der Datenverkehr geroutet wird. Dies ist flexibler und ermöglicht die Verwendung von Verschlüsselung und Richtlinien-basiertem Routing.

Da SD-WAN häufig am Rand kritischer Infrastruktur – wie Wasser- und Energieversorgungsunternehmen – angesiedelt ist, ist die Sicherheit seiner Controller und Management-Ebenen von entscheidender Bedeutung. Genau das war das Ziel von UAT-8616.

Wer ist UAT-8616 / Salt Typhoon?

Ed stützt seine Darstellung auf öffentliche Berichte von Cisco Talos über einen chinesischen Bedrohungsakteur:

• UAT-8616, auch bekannt als Salt Typhoon, hat nachweislich Zero-Day-Schwachstellen in Edge- und Netzwerkgeräten ausgenutzt.
• Zu ihren Zielen gehören kritische Infrastruktursektoren in den USA und weltweit, insbesondere operative Technologie (OT)-Umgebungen wie:
  • Wasserversorgungsunternehmen
  • Energieversorgungsunternehmen
  • Andere industrielle und Infrastrukturnetze

In dieser Kampagne nutzten sie Schwachstellen in Cisco Catalyst SD-WAN-Systemen aus, um tiefgreifenden und dauerhaften Zugriff auf Unternehmensnetzwerke zu erhalten.

Schritt 1: Eine Niederlassung über SD-WAN-Peering vortäuschen

SD-WAN-Controller verwalten viele Niederlassungen. Wenn sich eine neue Niederlassung anschließt, muss sie sich mit dem Controller verbinden und nachweisen, dass sie zur Organisation gehört. In der Regel werden dafür verwendet:

• Öffentliche/private Schlüsselpaare oder
• Vordefinierte symmetrische Schlüssel

Die Idee ist, dass eine neue Niederlassung sagt: „Ich gehöre zum Unternehmen; hier ist der Beweis“, und der Controller akzeptiert sie in die Management-/Steuerungsebene.

Laut dem von Ed zitierten Bericht von Cisco Talos:

• UAT-8616 hat eine Schwachstelle im SD-WAN-Peering-Mechanismus ausgenutzt.
• Die Details sind nicht öffentlich – es gibt keinen Proof-of-Concept, und der genaue kryptografische oder Protokollfehler ist nicht bekannt.

Was aus der Beschreibung von Talos hervorgeht, wie im Video erläutert:

• Die Angreifer konnten eine gefälschte Niederlassung im SD-WAN-Netzwerk erstellen.
• Dieser gefälschte Knoten erschien wie jede andere legitime Niederlassung auf der Netzwerkkarte.
• Von dort aus konnten sie:
  • IP-Routen bekannt geben
  • Netzwerkverkehr einspeisen und empfangen
  • Sich mit der Management-/Steuerungsebene mit begrenzten Berechtigungen verbinden

Der erste Erfolg für die Angreifer war also, unauffällig zu einer weiteren Niederlassung zu werden – mit ausreichend Zugriff, um die Controller zu erreichen, aber noch nicht mit Root-Rechten.

Schritt 2: Firmware-Downgrade, um eine alte CVE wiederzubeleben

Nachdem UAT-8616 als Teilnehmer mit geringen Berechtigungen in das SD-WAN-Netzwerk eingedrungen war, ging es um die Eskalation von Berechtigungen. Ed hebt einen besonders cleveren Teil hervor: Sie führten einen Firmware-Downgrade-Angriff durch.

Warum ein Downgrade?

• Software ist (theoretisch) im Laufe der Zeit sicherer, da Schwachstellen gefunden und behoben werden.
• Ältere Firmware enthält oft noch bekannte, dokumentierte Fehler – wie CVEs aus früheren Jahren.

In diesem Fall verweist Ed auf:

• CVE-2022-20755 – eine Schwachstelle in der CLI (Befehlszeilenschnittstelle) der Cisco SD-WAN-Software.
  • Nur für einen authentifizierten lokalen Benutzer zugänglich.
  • Ermöglicht die Eskalation zu Root.

Aus der von ihm geschilderten Geschichte:

1. Die Angreifer, die als gefälschte Niederlassung agierten, erhielten Zugriff auf die Management-Ebene mit geringen Berechtigungen.
2. Sie führten ein Downgrade auf betroffenen SD-WAN-Systemen (vCenters / Controllern) auf eine Firmware-Version durch, die noch CVE-2022-20755 enthielt.
3. Mit dieser älteren Version konnten sie den alten Fehler auslösen, um Root-Rechte zu erlangen.

Ed weist darauf hin, dass dies ein typischer Grund ist, warum viele Hersteller versuchen, Firmware-Downgrades zu verhindern:

• Wenn ein Angreifer bereits einen gewissen Zugriff hat, ermöglicht ihm die Möglichkeit, auf anfällige Codeversionen zurückzugreifen, effektiv eine ältere, schwächere Sicherheitsbasis, die er ausnutzen kann.

Schritt 3: Pfad-Traversal und Vshell-Missbrauch, um Root-Rechte zu erlangen

Um den Eskalationspfad zu erklären, geht Ed auf ein Beispiel für eine klassische Pfad-Traversal-Schwachstelle ein und stellt dann die Verbindung zu der Funktionsweise des Cisco-Fehlers her.

Was ist ein Pfad-Traversal?

Er skizziert ein vereinfachtes Szenario:

• Ein Web-Tool nimmt einen vom Benutzer bereitgestellten Pfad entgegen und liefert eine Datei aus /var/www/uploads/<user_path>.
• Wenn der Code die Eingabe nicht bereinigt, kann der Benutzer stattdessen ../../../../etc/passwd eingeben.
• Das System öffnet dann /etc/passwd, eine sensible Datei, obwohl dies nicht beabsichtigt war.

Dies ist das Wesen eines Pfad-Traversal: Durch die Verwendung von Sequenzen wie ../ wird die Verzeichnisstruktur durchlaufen, um auf Dateien außerhalb des zulässigen Bereichs zuzugreifen.

Wie dies mit dem Cisco SD-WAN-Exploit zusammenhängt

Laut der Schwachstellenbeschreibung, die Ed zusammenfasst:

• Die anfällige Komponente war Vshell, die SD-WAN-CLI-Umgebung.
• Wenn sich ein Benutzer anmeldet, generiert Vshell eine Konfigurationsdatei, die einen Dateipfad und den Benutzernamen verwendet.
• Wenn der Benutzername nicht bereinigt wird, kann dies zu Problemen führen.

Wenn also irgendein Teil davon von einer Speicherbeschädigung während der Analyse abhängt, könnte Rust helfen. Wenn das Kernproblem jedoch in der Eingabevalidierung und der Pfadverarbeitungslogik liegt, hängt dies immer noch vom Programmierer ab, selbst wenn er Rust verwendet.

Er weist auch auf eine praktische Einschränkung hin:

• Viele Carrier-Grade-Router und SD-WAN-Systeme laufen auf Echtzeitbetriebssystemen (RTOS) mit strengen Leistungs- und Planungsanforderungen.
• Echtzeit-Rust ist noch ein sich entwickelndes Gebiet. Projekte wie Embassy und Arctic existieren, aber es ist noch nicht ein universell gelöstes oder ausgereiftes Gebiet für alle Anbieter.

In diesem Beispiel ist Rust also keine Wunderwaffe; die Probleme scheinen eher Design- und Logikprobleme als reine Speicherprobleme zu sein.

Abschließende Zusammenfassung

In dieser Low Level TV-Episode erläutert Ed Woodruff einen ausgeklügelten, realen Angriff auf Cisco SD-WAN-Systeme durch den Bedrohungsakteur UAT-8616 (Salt Typhoon). Die Kampagne kombinierte:

• Eine Peering-/Authentifizierungsschwachstelle, die es den Angreifern ermöglichte, eine gefälschte Niederlassung im SD-WAN-Netzwerk eines Unternehmens zu erstellen.
• Ein Firmware-Downgrade, um CVE-2022-20755 wiederzubeleben, einen bekannten CLI-Fehler zur Eskalation von Berechtigungen.
• Ein Pfad-Traversal in Vshell, um ein IPC-Geheimnis preiszugeben und letztendlich Befehle als Root auszuführen.

Das Ergebnis: Ein anfänglicher Zugriff mit geringen Berechtigungen als gefälschte Niederlassung wurde in die vollständige Kontrolle über SD-WAN-Controller umgewandelt, was sich potenziell auf jede Niederlassung einer Zielorganisation auswirken kann.

Eds wichtigste Erkenntnisse sind, dass die SD-WAN-Firmware auf dem neuesten Stand gehalten und unerwartete Peers und manipulierte Benutzernamen überwacht werden sollten. Außerdem sollte man sich bewusst sein, dass sicherere Sprachen wie Rust zwar bei der Speicherverwaltung helfen, aber nicht automatisch kryptografische oder logische Designfehler beheben. Die von ihm beschriebene Angriffskette zeigt, wie sich verschiedene Schwachstellen – Peering, Downgrade-Fähigkeit und CLI-Fehler – zu einem der ausgeklügeltsten praktischen Hacks entwickeln können, die es gegen Weitverkehrsnetzwerkinfrastruktur gegeben hat.