偽の支店がどのようにネットワークを乗っ取ったのか：UAT-8616によるSD-WANへのハッキング事件の真相

SD-WAN をわかりやすく解説：この攻撃が重要な理由

ビデオの中で、Low Level TV のエド・ウッドラフ氏は、彼がこれまでに扱った中で最も高度な攻撃と呼ぶものを解説します。それは、脅威アクター UAT-8616（別名 Salt Typhoon）による Cisco SD-WAN システムに対する現実世界の侵害です。

まず、SD-WAN について簡単に説明します。

• 従来のモデル: 多くの拠点を持つ企業は、従来、専用線（T1/T3）や MPLS（マルチプロトコルラベルスイッチング）を使用して、拠点 A と拠点 B を、プライベートで暗号化されていないネットワーク経由で接続していました。
• SD-WAN のアップグレード: ソフトウェア定義の広域ネットワーク (SD-WAN) を使用すると、各拠点間で 任意の伝送路 (インターネット、専用線など) を介して通信できるようになり、トラフィックのルーティング方法を集中管理できます。これにより、柔軟性が向上し、暗号化やポリシーベースのルーティングを使用できます。

SD-WAN は、水や電力などの重要なインフラストラクチャの最前線に配置されることが多いため、そのコントローラーと管理プレーンのセキュリティは非常に重要です。UAT-8616 が標的にしたのはまさにそれです。

UAT-8616 / Salt Typhoon とは？

エド氏は、Cisco Talos からの中国の脅威アクターに関する公開情報を基に、この攻撃について解説します。

• UAT-8616（別名 Salt Typhoon）は、エッジデバイスやネットワークデバイスにおける ゼロデイ脆弱性 を悪用していることが確認されています。
• 彼らの標的は、米国および世界中の重要なインフラストラクチャセクターであり、特に 運用技術 (OT) 環境（水処理施設、電力会社、その他の産業およびインフラストラクチャネットワークなど）が含まれます。

このキャンペーンでは、Cisco Catalyst SD-WAN システムの脆弱性を悪用して、企業ネットワークへの深いアクセスを維持しました。

ステップ 1：SD-WAN ピアリングを介した拠点の偽装

SD-WAN コントローラーは、多数の拠点を管理します。新しい拠点 がネットワークに参加すると、コントローラーと ピアリング し、組織に属していることを証明する必要があります。通常、これには次のものが使用されます。

• 公開/秘密鍵の交換、または
• 事前に共有された対称鍵

考え方はこうです。新しい拠点は「私はこの会社の一部です。証拠はこちらです」と言い、コントローラーはそれを管理/制御プレーンに受け入れます。

Cisco Talos の報告によると、エド氏は次のように述べています。

• UAT-8616 は、SD-WAN ピアリングメカニズムの脆弱性 を悪用しました。
• 詳細については 公開されていません。概念実証は存在せず、正確な暗号化またはプロトコルバグも不明です。

ビデオで説明されている Talos の分析からわかっていることは次のとおりです。

• 攻撃者は、SD-WAN ファブリック内に 偽の拠点 を作成することができました。
• この偽のノードは、ネットワークマップ上の他の正規の拠点と変わりません。
• そこから、彼らは次のことができました。
  • IP ルートをアドバタイズする
  • ネットワークトラフィックを注入および受信する
  • 制限された権限 で 管理/制御プレーン に参加する

したがって、攻撃者にとって最初の成功は、単なる別の拠点 として静かにネットワークに侵入することでした。コントローラーにアクセスできる程度の権限がありましたが、まだ root 権限は得られていません。

ステップ 2：古い CVE を再利用するためのファームウェアのダウングレード

SD-WAN ネットワークに低権限の参加者として侵入した後、UAT-8616 は権限昇格に移行しました。エド氏は、特に巧妙な部分を強調します。彼らは ファームウェアのダウングレード攻撃 を実行しました。

なぜダウングレードするのでしょうか？

• ソフトウェアは、（理論的には）脆弱性が発見され、修正されるにつれて、時間とともにセキュリティが向上 します。
• 古いファームウェアには、多くの場合、既知の文書化されたバグ（過去の CVE など）が残っています。

この場合、エド氏は次のように指摘します。

• CVE-2022-20755 - Cisco SD-WAN ソフトウェアの CLI (コマンドラインインターフェイス) に存在する脆弱性。
  • 認証されたローカルユーザー のみがアクセスできます。
  • root 権限 への昇格を許可します。

彼が語るストーリーから：

1. 攻撃者は、偽の拠点として動作し、低権限の管理プレーンへのアクセスを獲得しました。
2. 彼らは、CVE-2022-20755 がまだ含まれているファームウェアバージョンに、ターゲットの SD-WAN システム (vCenter / コントローラー) を ダウングレード しました。
3. その古いイメージを実行することで、彼らは 古いバグをトリガー して root 権限に昇格させることができました。

エド氏は、これが多くのベンダーが ファームウェアのダウングレードをブロック することを試みる理由の典型的な例であると述べています。

• 攻撃者がすでに何らかのアクセスを持っている場合、脆弱なコードにロールバックする機能は、事実上、より古い、より脆弱なセキュリティベースラインを提供し、攻撃者がそれを悪用できるようにします。

ステップ 3：パス・トラバーサルと Vshell の悪用による root へのアクセス

エド氏は、権限昇格のパスを説明するために、古典的な パス・トラバーサル 脆弱性の例を紹介し、それが Cisco のバグにどのように関連しているかを説明します。

パス・トラバーサルとは？

彼は、簡略化されたシナリオを描きます。

• Web ツールは、ユーザーが提供するパス を受け取り、/var/www/uploads/<user_path> からファイルを提供します。
• コードが入力のサニタイズを行わない場合、ユーザーは無害なファイル名の代わりに ../../../../etc/passwd を提供できます。
• その結果、システムは /etc/passwd（機密ファイル）を開きますが、これは本来意図されたものではありません。

これがパス・トラバーサルの本質です。../ などのシーケンスを使用して、ディレクトリツリーを上方向に移動 し、許可された領域外のファイルにアクセスします。

これが Cisco SD-WAN の攻撃にどのように関連するか

エド氏がまとめた脆弱性の説明によると：

• 脆弱なコンポーネントは、SD-WAN CLI 環境である Vshell でした。
• ユーザーがログインすると、Vshell はファイルシステムパスと ユーザー名 を使用して 構成ファイル を生成します。
• ユーザー名がサニタイズされない場合、攻撃者はトラバーサル文字列を埋め込むことができます。

彼が調査から説明する攻撃チェーンは次のとおりです。

1. 作成されたユーザー名
   • 攻撃者は、../ などのシーケンスを含むユーザー名を作成します。
2. Vshell の脆弱性
   • Vshell は、ユーザー名が適切に検証されず、パスを正しく処理しません。
3. IPC シークレットの漏洩
   • これにより、攻撃者は機密情報にアクセスできるようになります。
4. root 権限でのコマンドの実行
   • 最終的に、攻撃者は root 権限でコマンドを実行できます。

その結果、偽の拠点としてネットワークに侵入した低権限のアクセスは、ターゲット組織のすべての拠点に影響を与える可能性のある、SD-WAN コントローラーの完全な制御へと変わりました。

エド氏の主なポイントは、SD-WAN ファームウェアを最新の状態に保ち、予期しないピアと作成されたユーザー名を監視し、Rust などのより安全な言語がメモリ安全に役立つ一方で、暗号化または論理レベルの設計上の欠陥を自動的に解決するわけではない、ということです。彼が説明する攻撃チェーンは、ピアリング、ダウングレード機能、CLI バグなどの階層化された脆弱性が組み合わさって、広域ネットワークインフラストラクチャに対する最も高度な実用的な攻撃の 1 つになる可能性があることを示しています。