Come una filiale fittizia ha preso il controllo della rete: dietro le quinte dell’attacco SD-WAN di UAT-8616.

SD-WAN spiegato in termini semplici: perché questo attacco è importante

Nel video, Ed Woodruff di Low Level TV illustra quello che definisce l'attacco più sofisticato di cui si è occupato: una compromissione reale dei sistemi Cisco SD-WAN da parte del gruppo di minacce UAT-8616, noto anche come Salt Typhoon.

Per inquadrare la situazione, spiega innanzitutto il concetto di SD-WAN:

• Modello precedente: le aziende con molte filiali si affidavano in passato a linee private dedicate (T1/T3) e successivamente a MPLS (Multi-Protocol Label Switching) per connettere la filiale A alla filiale B tramite reti private non crittografate.
• Aggiornamento a SD-WAN: le reti SD-WAN consentono alle filiali di comunicare tramite qualsiasi tipo di connessione (internet, linee private, ecc.), definendo centralmente il modo in cui il traffico viene instradato. È una soluzione più flessibile che può utilizzare la crittografia e l'instradamento basato su policy.

Poiché le SD-WAN si trovano spesso ai margini di infrastrutture critiche, come quelle idriche ed energetiche, la sicurezza dei suoi controller e dei piani di gestione è fondamentale. È proprio questo che UAT-8616 ha preso di mira.

Chi è UAT-8616 / Salt Typhoon?

Ed basa la sua analisi sui dati pubblicati da Cisco Talos riguardo a un gruppo di minacce cinese:

• UAT-8616, noto anche come Salt Typhoon, è stato osservato sfruttare vulnerabilità zero-day in dispositivi di rete e di bordo.
• I suoi obiettivi includono settori di infrastrutture critiche negli Stati Uniti e in tutto il mondo, in particolare ambienti di tecnologia operativa (OT) come:
  • Impianti idrici
  • Società di servizi energetici
  • Altre reti industriali e infrastrutturali

In questa campagna, hanno sfruttato le debolezze dei sistemi Cisco Catalyst SD-WAN per ottenere un accesso profondo e persistente alle reti aziendali.

Fase 1: simulazione di una filiale tramite peering SD-WAN

I controller SD-WAN gestiscono molte filiali. Quando si aggiunge una nuova filiale, questa deve stabilire una connessione di peering con il controller e dimostrare di appartenere all'organizzazione. In genere, questo avviene tramite:

• Scambio di chiavi pubbliche/private, oppure
• Chiavi simmetriche precondivise

L'idea è che una nuova filiale dica: "Faccio parte dell'azienda; ecco la prova", e il controller la accetta nel piano di gestione/controllo.

Secondo i dati di Cisco Talos citati da Ed:

• UAT-8616 ha sfruttato una vulnerabilità nel meccanismo di peering SD-WAN.
• I dettagli non sono pubblici: non esiste una prova di concetto e il bug crittografico o di protocollo esatto non è noto.

Da quanto descritto nel rapporto di Talos:

• Gli aggressori sono stati in grado di creare una filiale fittizia nella rete SD-WAN.
• Questo nodo fittizio è apparso come qualsiasi altra filiale legittima sulla mappa della rete.
• Da lì, potevano:
  • Pubblicizzare route IP
  • Inviare e ricevere traffico di rete
  • Accedere al piano di gestione/controllo con privilegi limitati

Quindi, il primo successo per gli aggressori è stato quello di diventare silenziosamente un'altra filiale, con accesso sufficiente per raggiungere i controller, ma non ancora con privilegi di amministratore.

Fase 2: downgrade del firmware per riattivare una vecchia vulnerabilità (CVE)

Una volta all'interno della rete SD-WAN con privilegi limitati, UAT-8616 è passato all'escalation dei privilegi. Ed evidenzia una parte particolarmente ingegnosa: hanno eseguito un attacco di downgrade del firmware.

Perché eseguire un downgrade?

• Il software è (in teoria) più sicuro nel tempo, man mano che vengono individuate e corrette le vulnerabilità.
• Il firmware più vecchio contiene spesso ancora bug noti e documentati, come le CVE degli anni precedenti.

In questo caso, Ed fa riferimento a:

• CVE-2022-20755: una vulnerabilità nella CLI (interfaccia a riga di comando) del software Cisco SD-WAN.
  • Accessibile solo a un utente locale autenticato.
  • Consente l'escalation ai privilegi di amministratore.

Dalla descrizione dell'attacco:

1. Gli aggressori, agendo come una filiale fittizia, hanno ottenuto l'accesso al piano di gestione con privilegi limitati.
2. Hanno eseguito il downgrade dei sistemi SD-WAN (vCenters / controller) a una versione del firmware che conteneva ancora la CVE-2022-20755.
3. Con questa versione più vecchia in esecuzione, potevano attivare il vecchio bug per ottenere i privilegi di amministratore.

Ed sottolinea che questo è un motivo per cui molti fornitori cercano di impedire il downgrade del firmware:

• Se un aggressore ha già un certo livello di accesso, la possibilità di tornare a un codice vulnerabile gli fornisce di fatto una base di sicurezza più vecchia e più debole da sfruttare.

Fase 3: attraversamento del percorso e abuso di Vshell per ottenere i privilegi di amministratore

Per spiegare il percorso di escalation, Ed analizza un esempio di una classica vulnerabilità di attraversamento del percorso e lo collega al modo in cui ha funzionato il bug di Cisco.

Cos'è un attraversamento del percorso?

Descrive uno scenario semplificato:

• Uno strumento web accetta un percorso fornito dall'utente e serve un file da /var/www/uploads/<percorso_utente>.
• Se il codice non esegue la sanificazione dell'input, l'utente può fornire ../../../../etc/passwd invece di un nome di file innocuo.
• Il sistema apre quindi /etc/passwd, un file sensibile, anche se non era previsto.

Questo è l'essenza di un attraversamento del percorso: utilizzare sequenze come ../ per risalire l'albero delle directory e accedere a file al di fuori dell'area consentita.

Come si è applicato all'exploit Cisco SD-WAN

Secondo la descrizione della vulnerabilità riassunta da Ed:

• Il componente vulnerabile era Vshell, l'ambiente CLI SD-WAN.
• Quando un utente effettua l'accesso, Vshell genera un file di configurazione utilizzando un percorso del file system più il nome utente.
• Se il nome utente non viene sanificato, un aggressore può incorporare sequenze di attraversamento al suo interno.

La catena di attacco descritta nella ricerca:

1. Nome utente creato ad hoc
   • L'aggressore imposta un nome utente come .temp/../foo/../external (esempio illustrativo) che include sequenze di attraversamento.
2. Lettura del file di configurazione
   • Vshell legge il file di configurazione, interpretando il percorso manipolato.
3. Accesso a file sensibili
   • L'aggressore può accedere a file sensibili o eseguire codice.

Quindi, la vulnerabilità di attraversamento del percorso in Vshell ha consentito agli aggressori di leggere file di configurazione sensibili, potenzialmente ottenendo credenziali o altre informazioni utilizzabili per l'escalation dei privilegi.

Riepilogo finale

In questo episodio di Low Level TV, Ed Woodruff analizza un sofisticato attacco reale contro i sistemi Cisco SD-WAN da parte del gruppo di minacce UAT-8616 (Salt Typhoon). La campagna ha combinato:

• Una vulnerabilità di peering/autenticazione che ha permesso agli aggressori di creare una filiale fittizia nella rete SD-WAN di un'azienda.
• Un downgrade del firmware per riattivare la CVE-2022-20755, una vulnerabilità nota di escalation dei privilegi nella CLI.
• Un attraversamento del percorso in Vshell per ottenere i privilegi di amministratore.

Il risultato: un punto d'appoggio con privilegi limitati, sotto forma di una filiale fittizia, è stato trasformato in un controllo completo dei controller SD-WAN, con potenziali ripercussioni su ogni filiale di un'organizzazione target.

I punti chiave evidenziati da Ed sono mantenere aggiornato il firmware SD-WAN, monitorare la presenza di peer inattesi e nomi utente creati ad hoc e riconoscere che, sebbene linguaggi più sicuri come Rust aiutino con la sicurezza della memoria, non risolvono automaticamente i difetti di progettazione a livello crittografico o logico. La catena di attacco descritta dimostra come le debolezze combinate (peering, capacità di downgrade e bug della CLI) possano trasformarsi in uno degli attacchi pratici più sofisticati mai visti contro le infrastrutture di rete ad ampia area.