Comment une fausse succursale a pris le contrôle du réseau : les dessous du piratage du SD-WAN de UAT-8616.

SD-WAN en termes simples : pourquoi cette attaque est importante

Dans la vidéo, Ed Woodruff de Low Level TV explique ce qu’il considère comme l’attaque la plus sophistiquée qu’il ait analysée : une compromission réelle des systèmes Cisco SD-WAN par l’acteur de la menace UAT-8616, également connu sous le nom de Salt Typhoon.

Pour contextualiser, il explique d’abord le SD-WAN de manière générale :

• Ancien modèle : les entreprises disposant de nombreux sites utilisaient historiquement des lignes privées louées (T1/T3), puis MPLS (Multi-Protocol Label Switching) pour connecter le site A au site B via des réseaux privés non chiffrés.
• Amélioration SD-WAN : les réseaux étendus définis par logiciel permettent aux sites de communiquer via n’importe quel type de réseau (Internet, liaisons privées, etc.), tout en définissant de manière centralisée la manière dont le trafic est acheminé. Il est plus flexible et peut utiliser le chiffrement et le routage basé sur des politiques.

Étant donné que le SD-WAN se trouve souvent à la périphérie d’infrastructures essentielles (comme les réseaux d’eau et d’électricité), la sécurité de ses contrôleurs et de ses plans de gestion est cruciale. C’est précisément ce que UAT-8616 a ciblé.

Qui est UAT-8616 / Salt Typhoon ?

Ed base son récit sur les informations publiques fournies par Cisco Talos concernant un acteur de la menace chinois :

• UAT-8616, également appelé Salt Typhoon, a été observé exploitant des vulnérabilités de type « zero-day » dans les périphériques de réseau et de périphérie.
• Leurs cibles incluent les secteurs d’infrastructures essentielles aux États-Unis et dans le monde, en particulier les environnements de technologie opérationnelle (OT), tels que :
  • Les réseaux d’eau
  • Les entreprises d’électricité
  • Les autres réseaux industriels et d’infrastructure

Dans cette campagne, ils ont exploité les faiblesses des systèmes Cisco Catalyst SD-WAN pour obtenir un accès profond et persistant aux réseaux d’entreprise.

Étape 1 : simulation d’un site via le jumelage SD-WAN

Les contrôleurs SD-WAN gèrent de nombreux sites. Lorsqu’un nouveau site se connecte, il doit s’associer au contrôleur et prouver qu’il appartient à l’organisation. Généralement, cela se fait en utilisant :

• Des échanges de clés publiques/privées, ou
• Des clés symétriques prépartagées

L’idée est que le nouveau site déclare : « Je fais partie de l’entreprise ; voici la preuve », et le contrôleur l’accepte dans le plan de gestion/de contrôle.

Selon les informations de Cisco Talos citées par Ed :

• UAT-8616 a exploité une vulnérabilité dans le mécanisme de jumelage SD-WAN.
• Les détails ne sont pas publics ; il n’existe pas de preuve de concept, et la faille cryptographique ou de protocole exacte n’est pas connue.

Ce qui est connu, d’après les informations de Talos, telles que décrites dans la vidéo :

• Les attaquants ont pu créer un site factice dans le réseau SD-WAN.
• Ce nœud factice est apparu comme n’importe quel autre site légitime sur la carte du réseau.
• À partir de là, ils pouvaient :
  • Annoncer des routes IP
  • Injecter et recevoir du trafic réseau
  • Rejoindre le plan de gestion/de contrôle avec des privilèges limités

Ainsi, la première étape pour les attaquants a consisté à devenir discrètement un site de plus, avec suffisamment d’accès pour atteindre les contrôleurs, mais pas encore avec les droits d’administrateur.

Étape 2 : rétrogradation du micrologiciel pour relancer une ancienne CVE

Une fois à l’intérieur du réseau SD-WAN avec un accès limité, UAT-8616 a procédé à une élévation de privilèges. Ed souligne une partie particulièrement astucieuse : ils ont exécuté une attaque de rétrogradation du micrologiciel.

Pourquoi rétrograder ?

• Le logiciel est (en théorie) plus sécurisé au fil du temps, car les vulnérabilités sont découvertes et corrigées.
• Les anciens micrologiciels contiennent souvent encore des bogues connus et documentés, comme les CVE des années précédentes.

Dans ce cas, Ed souligne :

• CVE-2022-20755 : une vulnérabilité dans l’interface en ligne de commande (CLI) du logiciel Cisco SD-WAN.
  • Accessible uniquement à un utilisateur local authentifié.
  • Permet l’élévation des privilèges à administrateur.

D’après le récit qu’il en fait :

1. Les attaquants, agissant comme un site factice, ont obtenu un accès limité au plan de gestion.
2. Ils ont rétrogradé les systèmes SD-WAN ciblés (vCenters / contrôleurs) vers une version du micrologiciel qui contenait encore la CVE-2022-20755.
3. Avec cette ancienne image en cours d’exécution, ils ont pu déclencher l’ancien bogue pour obtenir les droits d’administrateur.

Ed note que c’est la raison pour laquelle de nombreux fournisseurs tentent de bloquer les rétrogradations du micrologiciel :

• Si un attaquant a déjà un certain accès, la possibilité de revenir à un code vulnérable lui donne effectivement une base de sécurité plus ancienne et plus faible à exploiter.

Étape 3 : parcours de chemin et exploitation de Vshell pour obtenir les droits d’administrateur

Pour expliquer le chemin d’élévation des privilèges, Ed aborde un exemple classique de vulnérabilité de parcours de chemin, puis explique comment le bogue Cisco a fonctionné.

Qu’est-ce qu’un parcours de chemin ?

Il esquisse un scénario simplifié :

• Un outil Web prend un chemin fourni par l’utilisateur et sert un fichier à partir de /var/www/uploads/<chemin_utilisateur>.
• Si le code ne désinfecte pas l’entrée, l’utilisateur peut fournir ../../../../etc/passwd au lieu d’un nom de fichier inoffensif.
• Le système ouvre alors /etc/passwd, un fichier sensible, alors que ce n’était pas prévu.

C’est l’essence d’un parcours de chemin : utiliser des séquences comme ../ pour remonter dans l’arborescence des répertoires et accéder à des fichiers situés en dehors de la zone autorisée.

Comment cela s’est appliqué à l’exploitation de Cisco SD-WAN

Selon la description de la vulnérabilité résumée par Ed :

• Si une partie dépend de la corruption de la mémoire lors de l’analyse, Rust pourrait aider.
• Mais si le problème principal est la validation des entrées et la logique de gestion des chemins, cela dépend toujours du programmeur, même en utilisant Rust.

Il note également une contrainte pratique :

• De nombreux routeurs de qualité opérateur et systèmes SD-WAN fonctionnent sur des systèmes d’exploitation en temps réel (RTOS) avec des exigences strictes en matière de performances et de planification.
• Rust en temps réel est encore un domaine en développement. Des projets tels que Embassy et Arctic existent, mais ce n’est pas encore un domaine universellement résolu ou mature pour tous les fournisseurs.

Ainsi, dans cet exemple, Rust n’est pas une solution miracle ; les problèmes semblent être liés à la conception et à la logique plutôt qu’à la simple sécurité de la mémoire.

Résumé final

Dans cet épisode de Low Level TV, Ed Woodruff analyse une attaque sophistiquée réelle contre les systèmes Cisco SD-WAN par l’acteur de la menace UAT-8616 (Salt Typhoon). La campagne a combiné :

• Une faille de jumelage/d’authentification qui a permis aux attaquants de créer un site factice dans le réseau SD-WAN d’une entreprise.
• Une rétrogradation du micrologiciel pour relancer la CVE-2022-20755, un bogue d’élévation de privilèges CLI connu.
• Un parcours de chemin dans Vshell pour extraire un secret IPC et exécuter en fin de compte des commandes en tant qu’administrateur.

Le résultat : un point d’appui avec des privilèges limités en tant que site factice a été transformé en un contrôle total des contrôleurs SD-WAN, avec un impact potentiel sur tous les sites d’une organisation cible.

Les principaux points à retenir d’Ed sont de maintenir le micrologiciel SD-WAN à jour, de surveiller les sites inattendus et les noms d’utilisateur modifiés, et de reconnaître que, bien que des langages plus sûrs comme Rust aident à la sécurité de la mémoire, ils ne résolvent pas automatiquement les défauts de conception cryptographiques ou logiques. La chaîne d’attaque qu’il décrit montre comment des faiblesses superposées (jumelage, capacité de rétrogradation et bogues CLI) peuvent se combiner pour créer l’une des attaques pratiques les plus sophistiquées jamais observées contre l’infrastructure de réseau étendu.