Bagaimana Kantor Cabang Palsu Mengambil Alih Jaringan: Mengungkap Peretasan SD-WAN UAT-8616

SD-WAN dalam Bahasa Sederhana: Mengapa Serangan Ini Penting

Dalam video tersebut, Ed Woodruff dari Low Level TV menjelaskan apa yang ia sebut sebagai serangan paling canggih yang pernah ia bahas: pelanggaran sistem Cisco SD-WAN yang dilakukan oleh kelompok ancaman UAT-8616, yang juga dikenal sebagai Salt Typhoon.

Untuk memberikan gambaran, ia pertama-tama menjelaskan SD-WAN secara umum:

• Model lama: Perusahaan dengan banyak cabang biasanya mengandalkan saluran pribadi (T1/T3) dan kemudian MPLS (Multi-Protocol Label Switching) untuk menghubungkan cabang A ke cabang B melalui jaringan pribadi yang tidak terenkripsi.
• Peningkatan SD-WAN: Jaringan Area Luas yang Didefinisikan Perangkat Lunak memungkinkan cabang berkomunikasi melalui transportasi apa pun (internet, tautan pribadi, dll.) sambil secara terpusat menentukan bagaimana lalu lintas dirutekan. Ini lebih fleksibel dan dapat menggunakan enkripsi dan perutean berbasis kebijakan.

Karena SD-WAN seringkali berada di tepi infrastruktur penting—seperti utilitas air dan listrik—keamanan pengontrol dan bidang manajemennya sangat penting. Inilah yang menjadi target UAT-8616.

Siapa UAT-8616 / Salt Typhoon?

Ed mendasarkan ceritanya pada laporan publik dari Cisco Talos tentang kelompok ancaman asal Tiongkok:

• UAT-8616, juga dikenal sebagai Salt Typhoon, telah diamati mengeksploitasi kerentanan zero-day pada perangkat tepi dan jaringan.
• Target mereka termasuk sektor infrastruktur penting di AS dan di seluruh dunia, terutama lingkungan teknologi operasional (OT) seperti:
  • Utilitas air
  • Perusahaan listrik
  • Jaringan industri dan infrastruktur lainnya

Dalam kampanye ini, mereka menyalahgunakan kelemahan dalam sistem Cisco Catalyst SD-WAN untuk mendapatkan akses yang mendalam dan berkelanjutan ke jaringan perusahaan.

Langkah 1: Memalsukan Cabang melalui Peering SD-WAN

Pengontrol SD-WAN mengelola banyak cabang. Ketika cabang baru bergabung, ia harus berhubungan dengan pengontrol dan membuktikan bahwa ia termasuk dalam organisasi. Biasanya ini menggunakan:

• Pertukaran kunci publik/pribadi, atau
• Kunci simetris yang telah dibagikan sebelumnya

Idenya: cabang baru mengatakan, “Saya adalah bagian dari perusahaan; ini buktinya,” dan pengontrol menerimanya ke dalam bidang manajemen/kontrol.

Menurut laporan Cisco Talos yang dikutip Ed:

• UAT-8616 mengeksploitasi kerentanan dalam mekanisme peering SD-WAN.
• Detailnya tidak dipublikasikan—tidak ada bukti konsep, dan bug kriptografi atau protokol yang tepat tidak diketahui.

Apa yang diketahui dari uraian Talos dalam video:

• Para penyerang dapat membuat cabang palsu di jaringan SD-WAN.
• Node palsu ini tampak seperti cabang sah lainnya di peta jaringan.
• Dari sana, mereka dapat:
  • Mengiklankan rute IP
  • Menyuntikkan dan menerima lalu lintas jaringan
  • Bergabung dengan bidang manajemen/kontrol dengan hak istimewa terbatas

Jadi, kemenangan pertama bagi para penyerang adalah secara diam-diam menjadi cabang lain—dengan akses yang cukup untuk menjangkau pengontrol, tetapi belum menjadi root.

Langkah 2: Penurunan Versi Firmware untuk Menghidupkan Kembali CVE Lama

Setelah berada di dalam jaringan SD-WAN sebagai peserta dengan hak istimewa rendah, UAT-8616 beralih ke peningkatan hak istimewa. Ed menyoroti bagian yang sangat cerdas: mereka melakukan serangan penurunan versi firmware.

Mengapa menurunkan versi?

• Perangkat lunak (secara teori) lebih aman seiring waktu karena kerentanan ditemukan dan diperbaiki.
• Firmware yang lebih lama seringkali masih berisi bug yang diketahui dan terdokumentasi—seperti CVE dari tahun-tahun sebelumnya.

Dalam kasus ini, Ed menunjuk ke:

• CVE-2022-20755 – kerentanan dalam CLI (antarmuka baris perintah) perangkat lunak Cisco SD-WAN.
  • Hanya dapat diakses oleh pengguna lokal yang terautentikasi.
  • Memungkinkan peningkatan ke root.

Dari cerita yang ia ceritakan:

1. Para penyerang, bertindak sebagai cabang palsu, mendapatkan akses bidang manajemen dengan hak istimewa rendah.
2. Mereka menurunkan versi sistem SD-WAN yang ditargetkan (vCenters / pengontrol) ke versi firmware yang masih berisi CVE-2022-20755.
3. Dengan gambar yang lebih lama itu berjalan, mereka dapat memicu bug lama untuk meningkatkan hak istimewa ke root.

Ed mencatat bahwa ini adalah alasan klasik mengapa banyak vendor mencoba memblokir penurunan versi firmware:

• Jika seorang penyerang sudah memiliki beberapa akses, kemampuan untuk kembali ke kode yang rentan secara efektif memberi mereka dasar keamanan yang lebih lama dan lebih lemah untuk dieksploitasi.

Langkah 3: Penjelajahan Jalur dan Penyalahgunaan Vshell untuk Mencapai Root

Untuk menjelaskan jalur peningkatan hak istimewa, Ed menyelami contoh penjelajahan jalur klasik, lalu menghubungkannya dengan cara bug Cisco bekerja.

Apa itu penjelajahan jalur?

Ia membuat sketsa skenario yang disederhanakan:

• Alat web mengambil jalur yang disediakan pengguna dan menyajikan file dari /var/www/uploads/<user_path>.
• Jika kode tidak membersihkan input, pengguna dapat menyediakan ../../../../etc/passwd alih-alih nama file yang tidak berbahaya.
• Sistem kemudian membuka /etc/passwd, file sensitif, meskipun itu bukan yang dimaksudkan.

Inilah inti dari penjelajahan jalur: menggunakan urutan seperti ../ untuk bergerak ke atas pohon direktori dan mengakses file di luar area yang diizinkan.

Bagaimana ini dipetakan ke eksploitasi Cisco SD-WAN

Menurut deskripsi kerentanan yang dirangkum Ed:

• Komponen yang rentan adalah Vshell, lingkungan CLI SD-WAN.
• Ketika seorang pengguna masuk, Vshell menghasilkan file konfigurasi menggunakan jalur sistem file ditambah nama pengguna.
• Jika nama pengguna tidak dibersihkan, seorang penyerang dapat menyematkan string penjelajahan di dalamnya.

Rantai serangan yang ia jelaskan dari penelitian:

1. Nama pengguna yang dibuat

   • Penyerang mengatur nama pengguna seperti .temp/../foo/../external (contoh placeholder) yang menyertakan urutan penjelajahan.
   • Ini menipu Vshell untuk membaca file yang terletak di luar direktori yang dimaksud.

2. Kebocoran rahasia IPC sensitif

   • Menggunakan teknik ini, penyerang membaca confd_ipc_secret (rahasia yang digunakan untuk komunikasi antar-proses antara komponen pada sistem).
   • Dengan rahasia itu, mereka dapat menandatangani permintaan IPC seolah-olah mereka adalah proses yang tepercaya.

3. Jalankan Vshell sebagai root

   • Skrip eksploitasi yang ditampilkan dalam uraian (seperti yang diceritakan Ed) menggunakan rahasia yang bocor untuk meminta agar perintah dijalankan sebagai UID 0 (root).

Hasilnya: pijakan dengan hak istimewa rendah sebagai cabang palsu diubah menjadi kontrol penuh atas pengontrol SD-WAN, dengan potensi dampak di setiap cabang organisasi target.

Ringkasan Akhir

Dalam episode Low Level TV ini, Ed Woodruff menguraikan serangan dunia nyata yang canggih terhadap sistem Cisco SD-WAN oleh kelompok ancaman UAT-8616 (Salt Typhoon). Kampanye ini menggabungkan:

• Cacat peering/autentikasi yang memungkinkan para penyerang membuat cabang palsu di jaringan SD-WAN perusahaan.
• Penurunan versi firmware untuk menghidupkan kembali CVE-2022-20755, bug peningkatan hak istimewa CLI yang diketahui.
• Penjelajahan jalur di Vshell untuk membocorkan rahasia IPC dan akhirnya menjalankan perintah sebagai root.

Hasilnya: pijakan dengan hak istimewa rendah sebagai cabang palsu diubah menjadi kontrol penuh atas pengontrol SD-WAN, dengan potensi dampak di setiap cabang organisasi target.

Poin-poin penting Ed adalah untuk menjaga firmware SD-WAN tetap diperbarui, memantau peer dan nama pengguna yang tidak terduga, dan menyadari bahwa meskipun bahasa yang lebih aman seperti Rust membantu dengan keamanan memori, bahasa tersebut tidak secara otomatis menyelesaikan cacat desain atau logika kriptografi. Rantai serangan yang ia jelaskan menunjukkan bagaimana kelemahan berlapis—peering, kemampuan penurunan versi, dan bug CLI—dapat digabungkan menjadi salah satu serangan praktis paling canggih yang pernah terlihat terhadap infrastruktur jaringan area luas.