가짜 지사에서 네트워크를 장악한 방법: UAT-8616의 SD-WAN 해킹 사건 심층 분석
SD-WAN을 쉽게 설명하자면: 이 해킹이 왜 중요한가
비디오에서 Low Level TV의 Ed Woodruff는 자신이 다룬 가장 진보된 해킹이라고 생각하는 내용을 설명합니다. 바로 위협 행위자 UAT-8616(Salt Typhoon이라고도 함)이 Cisco SD-WAN 시스템을 공격하여 실제 피해를 입힌 사례입니다.
먼저 상황을 설명하기 위해 그는 SD-WAN을 간략하게 설명합니다.
- 기존 모델: 많은 지점을 가진 기업은 과거에 전용 회선(T1/T3)을 사용했고, 이후에는 MPLS(Multi-Protocol Label Switching)를 사용하여 전용, 암호화되지 않은 네트워크를 통해 지점 A와 지점 B를 연결했습니다.
- SD-WAN 업그레이드: 소프트웨어 정의 광역 네트워크(SD-WAN)를 사용하면 지점 간에 **모든 전송 방식(인터넷, 전용 회선 등)**을 통해 통신할 수 있으며, 중앙에서 트래픽 라우팅 방식을 정의합니다. 유연성이 뛰어나고 암호화 및 정책 기반 라우팅을 사용할 수 있습니다.
SD-WAN은 종종 중요한 인프라(예: 상수도 및 전력 시설)의 가장자리에 위치하므로 컨트롤러 및 관리 평면의 보안이 매우 중요합니다. UAT-8616은 바로 이 부분을 목표로 삼았습니다.
UAT-8616 / Salt Typhoon은 누구인가?
Ed는 Cisco Talos에서 발표한 중국의 위협 행위자에 대한 공개 보고서를 바탕으로 이야기를 전개합니다.
- UAT-8616 또는 Salt Typhoon은 가장자리 및 네트워크 장치에서 제로데이 취약점을 악용한 것으로 확인되었습니다.
- 이들의 공격 대상에는 미국 및 전 세계의 중요한 인프라 부문, 특히 다음과 같은 운영 기술(OT) 환경이 포함됩니다.
- 상수도 시설
- 전력 회사
- 기타 산업 및 인프라 네트워크
이번 공격에서 이들은 Cisco Catalyst SD-WAN 시스템의 취약점을 악용하여 기업 네트워크에 깊고 지속적인 액세스 권한을 얻었습니다.
1단계: SD-WAN 피어링을 통해 가짜 지점 생성
SD-WAN 컨트롤러는 많은 지점을 관리합니다. 새 지점이 연결되면 컨트롤러와 피어링하여 해당 지점이 조직에 속한다는 것을 증명해야 합니다. 일반적으로 다음과 같은 방법을 사용합니다.
- 공개/개인 키 교환 또는
- 미리 공유된 대칭 키
핵심은 다음과 같습니다. 새 지점은 "저는 회사에 속합니다. 증거가 있습니다."라고 말하고 컨트롤러는 이를 관리/제어 평면에 추가합니다.
Cisco Talos의 보고서에 따르면:
- UAT-8616은 SD-WAN 피어링 메커니즘의 취약점을 악용했습니다.
- 자세한 내용은 공개되지 않았습니다. 개념 증명은 없으며 정확한 암호화 또는 프로토콜 버그는 알려지지 않았습니다.
비디오에서 설명된 Talos의 분석에 따르면:
- 공격자는 SD-WAN 환경에서 가짜 지점을 생성할 수 있었습니다.
- 이 가짜 노드는 네트워크 지도에서 다른 합법적인 지점과 동일하게 보입니다.
- 이를 통해 공격자는 다음을 수행할 수 있습니다.
- IP 경로 광고
- 네트워크 트래픽 주입 및 수신
- 제한된 권한으로 관리/제어 평면에 연결
따라서 공격자가 처음으로 성공한 것은 단순히 또 다른 가짜 지점이 되는 것이었습니다. 이를 통해 컨트롤러에 액세스할 수 있지만 아직 루트 권한은 얻지 못했습니다.
2단계: 오래된 CVE를 다시 활성화하기 위한 펌웨어 다운그레이드
SD-WAN 네트워크에 낮은 권한의 참가자로 침투한 후 UAT-8616은 권한 상승을 시도했습니다. Ed는 특히 영리한 부분을 강조합니다. 바로 펌웨어 다운그레이드 공격을 실행한 것입니다.
왜 다운그레이드해야 할까요?
- 소프트웨어는 (이론적으로) 취약점이 발견되고 패치됨에 따라 시간이 지남에 따라 더 안전해집니다.
- 오래된 펌웨어에는 종종 알려진 문서화된 버그가 포함되어 있습니다. 예를 들어 이전 버전의 CVE가 있습니다.
이 경우 Ed는 다음을 지적합니다.
- CVE-2022-20755 - Cisco SD-WAN 소프트웨어의 **CLI(명령줄 인터페이스)**의 취약점입니다.
- 인증된 로컬 사용자만 액세스할 수 있습니다.
- 루트 권한으로 상승할 수 있습니다.
그가 설명하는 이야기에 따르면:
- 공격자는 가짜 지점 역할을 하며 낮은 권한의 관리 평면에 액세스했습니다.
- 그런 다음 CVE-2022-20755가 여전히 포함된 펌웨어 버전으로 대상 SD-WAN 시스템(vCenter / 컨트롤러)을 다운그레이드했습니다.
- 이전 이미지를 실행하면 오래된 버그를 트리거하여 루트 권한으로 상승할 수 있습니다.
Ed는 이것이 많은 공급업체가 펌웨어 다운그레이드를 차단하려고 하는 주된 이유라고 언급합니다.
- 공격자가 이미 어느 정도 액세스 권한을 가지고 있다면, 취약한 코드로 롤백할 수 있는 기능은 효과적으로 이전의 더 약한 보안 기준을 제공하여 공격자가 이를 악용할 수 있게 합니다.
3단계: 경로 탐색 및 Vshell 악용을 통해 루트 권한 획득
권한 상승 경로를 설명하기 위해 Ed는 고전적인 경로 탐색 취약점의 예를 보여주고, 이를 Cisco 버그가 어떻게 작동하는지와 연결합니다.
경로 탐색이란 무엇일까요?
그는 단순화된 시나리오를 설명합니다.
- 웹 도구는 사용자가 제공한 경로를 가져와
/var/www/uploads/<user_path>에서 파일을 제공합니다. - 코드가 입력을 삭제하지 않으면 사용자는 무해한 파일 이름 대신
../../../../etc/passwd를 제공할 수 있습니다. - 그러면 시스템은 의도하지 않았지만 민감한 파일인
/etc/passwd를 엽니다.
이것이 경로 탐색의 본질입니다. ../와 같은 시퀀스를 사용하여 디렉터리 트리를 따라 올라가 허용된 영역 외부의 파일에 액세스합니다.
이것이 Cisco SD-WAN 익스플로잇과 어떻게 연결될까요?
Ed가 요약한 취약점 설명에 따르면:
- 취약한 구성 요소는 SD-WAN CLI 환경인 Vshell입니다.
- 사용자가 로그인하면 Vshell은 파일 시스템 경로와 사용자 이름을 사용하여 구성 파일을 생성합니다.
- 사용자 이름이 삭제되지 않으면 공격자는 이를 악용하여 경로 탐색 문자열을 삽입할 수 있습니다.
그가 연구에서 설명한 공격 체인은 다음과 같습니다.
- 조작된 사용자 이름
- 공격자는 경로 탐색 시퀀스가 포함된
.temp/../foo/../external(예시)과 같은 사용자 이름을 만듭니다.
- 공격자는 경로 탐색 시퀀스가 포함된
- 그런 다음 Vshell은 이 사용자 이름을 사용하여 IPC(프로세스 간 통신) 비밀을 유출합니다.
- 마지막으로 공격자는 루트 권한으로 명령을 실행합니다.
결과적으로 낮은 권한의 가짜 지점으로 시작하여 SD-WAN 컨트롤러에 대한 완전한 제어 권한을 얻을 수 있으며, 이는 대상 조직의 모든 지점에 영향을 미칠 수 있습니다.
최종 요약
Low Level TV 에피소드에서 Ed Woodruff는 위협 행위자 UAT-8616(Salt Typhoon)이 Cisco SD-WAN 시스템을 공격한 정교한 실제 사례를 분석합니다. 이 공격은 다음을 결합했습니다.
- 공격자가 기업의 SD-WAN 환경에 가짜 지점을 생성할 수 있도록 하는 피어링/인증 결함.
- CVE-2022-20755라는 알려진 CLI 권한 상승 버그를 다시 활성화하기 위한 펌웨어 다운그레이드.
- IPC 비밀을 유출하고 궁극적으로 루트 권한으로 명령을 실행하기 위한 Vshell의 경로 탐색.
결과적으로 낮은 권한의 가짜 지점으로 시작하여 SD-WAN 컨트롤러에 대한 완전한 제어 권한을 얻을 수 있으며, 이는 대상 조직의 모든 지점에 영향을 미칠 수 있습니다.
Ed의 주요 내용은 SD-WAN 펌웨어를 최신 상태로 유지하고, 예기치 않은 피어와 조작된 사용자 이름을 모니터링하고, Rust와 같은 더 안전한 언어가 메모리 안전에 도움이 되지만 암호화 또는 논리 수준의 설계 결함을 자동으로 해결하지는 않는다는 것입니다. 그가 설명하는 공격 체인은 피어링, 다운그레이드 기능 및 CLI 버그와 같은 계층화된 취약점이 어떻게 결합되어 광역 네트워크 인프라에 대한 가장 진보된 실제 해킹 중 하나로 이어질 수 있는지를 보여줍니다.
댓글
아직 댓글이 없습니다. 토론에 가장 먼저 참여해 보세요.