Cómo una sucursal falsa se hizo con el control de la red: el ataque a la red SD-WAN del grupo UAT-8616.

SD-WAN en términos sencillos: por qué este ataque es importante

En el video, Ed Woodruff de Low Level TV explica lo que él considera el ataque más sofisticado que ha cubierto: una vulneración real de los sistemas Cisco SD-WAN por parte del actor de amenazas UAT-8616, también conocido como Salt Typhoon.

Para contextualizar, primero explica el concepto de SD-WAN a un nivel general:

• Modelo antiguo: Las empresas con muchas sucursales solían depender de líneas arrendadas privadas (T1/T3) y, más tarde, de MPLS (conmutación de etiquetas de protocolo múltiple) para conectar la sucursal A con la sucursal B a través de redes privadas y no cifradas.
• Actualización a SD-WAN: Las redes de área amplia definidas por software (SD-WAN) permiten que las sucursales se comuniquen a través de cualquier tipo de red (internet, enlaces privados, etc.), al tiempo que definen de forma centralizada cómo se enruta el tráfico. Es más flexible y puede utilizar el cifrado y el enrutamiento basado en políticas.

Dado que el SD-WAN se encuentra con frecuencia en el borde de la infraestructura crítica (como las empresas de suministro de agua y energía), la seguridad de sus controladores y planos de administración es crucial. Precisamente eso es lo que UAT-8616 atacó.

¿Quién es UAT-8616 / Salt Typhoon?

Ed basa su relato en los informes públicos de Cisco Talos sobre un actor de amenazas chino:

• UAT-8616, también conocido como Salt Typhoon, ha sido observado explotando vulnerabilidades de día cero en dispositivos de borde y de red.
• Sus objetivos incluyen sectores de infraestructura crítica en los Estados Unidos y en todo el mundo, especialmente entornos de tecnología operativa (OT), como:
  • Empresas de suministro de agua
  • Empresas de energía
  • Otras redes industriales e de infraestructura

En esta campaña, explotaron las debilidades de los sistemas Cisco Catalyst SD-WAN para obtener un acceso profundo y persistente a las redes empresariales.

Paso 1: Simulación de una sucursal a través del enlace SD-WAN

Los controladores SD-WAN administran muchas sucursales. Cuando se une una nueva sucursal, debe establecer un enlace con el controlador y demostrar que pertenece a la organización. Normalmente, esto se hace mediante:

• Intercambios de claves públicas/privadas, o
• Claves simétricas precompartidas

La idea es que una nueva sucursal diga: "Soy parte de la empresa; aquí está la prueba", y el controlador la acepte en el plano de administración/control.

Según los informes de Cisco Talos que cita Ed:

• UAT-8616 explotó una vulnerabilidad en el mecanismo de enlace SD-WAN.
• Los detalles no son públicos: no existe una prueba de concepto y no se conoce el error exacto en el protocolo o la criptografía.

Lo que se conoce del informe de Talos, según se describe en el video:

• Los atacantes pudieron crear una sucursal falsa en la estructura SD-WAN.
• Este nodo falso parecía cualquier otra sucursal legítima en el mapa de la red.
• Desde allí, podían:
  • Anunciar rutas IP
  • Inyectar y recibir tráfico de red
  • Unirse al plano de administración/control con privilegios limitados

Por lo tanto, el primer logro para los atacantes fue convertirse silenciosamente en otra sucursal más, con suficiente acceso para llegar a los controladores, pero aún no con acceso de administrador.

Paso 2: Degradación del firmware para reactivar una vulnerabilidad CVE antigua

Una vez dentro de la red SD-WAN como un participante con pocos privilegios, UAT-8616 pasó a la escalada de privilegios. Ed destaca una parte particularmente inteligente: ejecutaron un ataque de degradación del firmware.

¿Por qué degradar el firmware?

• El software es (en teoría) más seguro con el tiempo a medida que se descubren y corrigen las vulnerabilidades.
• El firmware más antiguo a menudo todavía contiene errores conocidos y documentados, como las vulnerabilidades CVE de años anteriores.

En este caso, Ed señala:

• CVE-2022-20755: una vulnerabilidad en la CLI (interfaz de línea de comandos) del software Cisco SD-WAN.
  • Solo accesible para un usuario local autenticado.
  • Permite la escalada a administrador.

Según el relato que hace:

1. Los atacantes, actuando como una sucursal falsa, obtuvieron acceso al plano de administración con pocos privilegios.
2. Degradaron los sistemas SD-WAN objetivo (vCenters / controladores) a una versión de firmware que aún contenía CVE-2022-20755.
3. Con esa imagen más antigua en funcionamiento, pudieron activar el error antiguo para escalar a administrador.

Ed señala que esta es una razón por la que muchos proveedores intentan bloquear las degradaciones del firmware:

• Si un atacante ya tiene cierto acceso, la capacidad de volver a una versión de código vulnerable les proporciona de facto una base de seguridad más antigua y débil para explotar.

Paso 3: Recorrido de rutas y abuso de Vshell para obtener acceso de administrador

Para explicar la ruta de escalada, Ed profundiza en un ejemplo de una vulnerabilidad clásica de recorrido de rutas y luego lo relaciona con el funcionamiento del error de Cisco.

¿Qué es un recorrido de rutas?

Describe un escenario simplificado:

• Una herramienta web toma una ruta proporcionada por el usuario y sirve un archivo desde /var/www/uploads/<ruta_usuario>.
• Si el código no valida la entrada, el usuario puede proporcionar ../../../../etc/passwd en lugar de un nombre de archivo inofensivo.
• El sistema luego abre /etc/passwd, un archivo confidencial, aunque eso no era lo que se pretendía.

Esta es la esencia de un recorrido de rutas: utilizar secuencias como ../ para recorrer el árbol de directorios y acceder a archivos fuera del área permitida.

Cómo se relacionó esto con la explotación de Cisco SD-WAN

Según la descripción de la vulnerabilidad que resume Ed:

• El componente vulnerable era Vshell, el entorno CLI de SD-WAN.
• Cuando un usuario inicia sesión, Vshell genera un archivo de configuración utilizando una ruta del sistema de archivos más el nombre de usuario.
• Si el nombre de usuario no se valida, un atacante puede insertar secuencias de recorrido en él.

La cadena de ataque que describe a partir de la investigación:

1. Nombre de usuario creado

   • El atacante establece un nombre de usuario como .temp/../foo/../external (ejemplo de marcador de posición) que incluye secuencias de recorrido.
   • Esto engaña a Vshell para que lea un archivo ubicado fuera del directorio previsto.

2. Fuga de un secreto IPC confidencial

   • Utilizando esta técnica, el atacante lee confd_ipc_secret (un secreto utilizado para la comunicación entre procesos entre los componentes del sistema).
   • Con esto, puede ejecutar comandos como administrador.

El resultado: una posición inicial con pocos privilegios como una sucursal falsa se convirtió en el control total de los controladores SD-WAN, con un posible impacto en todas las sucursales de una organización objetivo.

Los puntos clave de Ed son mantener el firmware SD-WAN actualizado, supervisar la aparición de pares inesperados y nombres de usuario creados, y reconocer que, si bien los lenguajes más seguros como Rust ayudan con la seguridad de la memoria, no resuelven automáticamente los errores de diseño o de nivel lógico criptográfico. La cadena de ataque que describe muestra cómo las debilidades en capas (enlace, capacidad de degradación y errores de CLI) pueden combinarse en uno de los ataques prácticos más sofisticados que se han visto contra la infraestructura de red de área amplia.