header.log_in
Jak fałszywa filia przejęła kontrolę nad siecią: kulisy ataku na sieć SD-WAN przeprowadzonego przez grupę UAT-8616.

W celu wyświetlenia wymagane jest włączenie funkcjonalnych plików cookies tutaj

Sqa17ll
Sqa17llheader.posts
2 miesiące temucommon.read_time

Jak fałszywa filia przejęła kontrolę nad siecią: kulisy ataku na sieć SD-WAN przeprowadzonego przez grupę UAT-8616.

0 post.likes

SD-WAN w prostych słowach: Dlaczego ten atak jest ważny

W filmie Ed Woodruff z Low Level TV omawia, jak opisuje, najbardziej zaawansowany atak, jaki analizował: rzeczywisty atak na systemy Cisco SD-WAN przeprowadzony przez grupę hakerską UAT-8616, znaną również jako Salt Typhoon.

Na początek wyjaśnia, czym jest SD-WAN:

  • Stary model: Firmy z wieloma oddziałami tradycyjnie polegały na prywatnych, dzierżawionych liniach (T1/T3), a później na MPLS (Multi-Protocol Label Switching), aby połączyć oddział A z oddziałem B za pośrednictwem prywatnych, niezabezpieczonych sieci.
  • Ulepszenie SD-WAN: Oprogramowanie definiujące szerokopasmowe sieci (Software-Defined Wide Area Networks) umożliwia oddziałom komunikację za pośrednictwem dowolnego medium transmisyjnego (internet, prywatne łącza itp.), jednocześnie centralnie definiując sposób routingu ruchu. Jest to bardziej elastyczne rozwiązanie, które może wykorzystywać szyfrowanie i routing oparty na zasadach.

Ponieważ SD-WAN często znajduje się na obrzeżach krytycznej infrastruktury – takiej jak sieci wodociągowe i energetyczne – bezpieczeństwo jego kontrolerów i płaszczyzn zarządzania ma kluczowe znaczenie. To właśnie na to celowała grupa UAT-8616.

Kim jest UAT-8616 / Salt Typhoon?

Ed opiera swoją analizę na publicznych raportach Cisco Talos dotyczących chińskiej grupy hakerskiej:

  • UAT-8616, znana również jako Salt Typhoon, wykorzystywała luki typu zero-day w urządzeniach brzegowych i sieciowych.
  • Do ich celów należą krytyczne sektory infrastrukturalne w USA i na całym świecie, zwłaszcza środowiska technologii operacyjnych (OT), takie jak:
    • Sieci wodociągowe
    • Firmy energetyczne
    • Inne sieci przemysłowe i infrastrukturalne

W ramach tej kampanii wykorzystali słabości w systemach Cisco Catalyst SD-WAN, aby uzyskać głęboki i trwały dostęp do sieci korporacyjnych.

Krok 1: Podrabianie oddziału za pomocą SD-WAN Peering

Kontrolery SD-WAN zarządzają wieloma oddziałami. Gdy dołącza się nowy oddział, musi on nawiązać połączenie z kontrolerem i udowodnić, że należy do organizacji. Zazwyczaj odbywa się to za pomocą:

  • Wymiany kluczy publicznych i prywatnych lub
  • Wcześniej ustalonych kluczy symetrycznych

Idea polega na tym, że nowy oddział mówi: „Jestem częścią firmy; oto dowód”, a kontroler akceptuje go do płaszczyzny zarządzania/kontroli.

Zgodnie z raportem Cisco Talos, na który powołuje się Ed:

  • UAT-8616 wykorzystała lukę w mechanizmie SD-WAN Peering.
  • Szczegóły nie są publicznie dostępne – nie ma dowodu koncepcyjnego, a dokładna luka kryptograficzna lub protokołowa nie jest znana.

Z raportu Talos, jak opisano w filmie, wiadomo, że:

  • Atakujący byli w stanie utworzyć fałszywy oddział w sieci SD-WAN.
  • Ten fałszywy węzeł wyglądał jak każdy inny, legalny oddział na mapie sieci.
  • Stamtąd mogli:
    • Ogłaszać trasy IP
    • Wstrzykiwać i odbierać ruch sieciowy
    • Dołączyć do płaszczyzny zarządzania/kontroli z ograniczonymi uprawnieniami

Pierwszym sukcesem atakujących było więc ciche stanie się kolejnym oddziałem – z wystarczającym dostępem, aby dotrzeć do kontrolerów, ale jeszcze nie do poziomu administratora.

Krok 2: Obniżenie wersji oprogramowania w celu przywrócenia starej luki CVE

Po wejściu do sieci SD-WAN jako użytkownik z ograniczonymi uprawnieniami, UAT-8616 przystąpiła do eskalacji uprawnień. Ed podkreśla szczególnie sprytny element: przeprowadzili atak polegający na obniżeniu wersji oprogramowania.

Dlaczego obniżenie wersji?

  • Oprogramowanie jest (w teorii) z czasem bezpieczniejsze, ponieważ znajdują się i naprawiają luki.
  • Starsze wersje oprogramowania często nadal zawierają znane, udokumentowane błędy – takie jak luki CVE z poprzednich lat.

W tym przypadku Ed wskazuje na:

  • CVE-2022-20755 – lukę w CLI (interfejsie wiersza poleceń) oprogramowania Cisco SD-WAN.
    • Dostępna tylko dla uwierzytelnionego użytkownika lokalnego.
    • Umożliwia eskalację do administratora.

Zgodnie z opisem, jak przedstawia to Ed:

  1. Atakujący, działając jako fałszywy oddział, uzyskali dostęp do płaszczyzny zarządzania z ograniczonymi uprawnieniami.
  2. Obniżyli wersję oprogramowania w wybranych systemach SD-WAN (vCenters / kontrolerach) do wersji, która nadal zawierała lukę CVE-2022-20755.
  3. Dzięki uruchomieniu starszej wersji mogli wykorzystać starą lukę, aby uzyskać uprawnienia administratora.

Ed zauważa, że jest to klasyczny powód, dla którego wielu dostawców próbuje blokować obniżanie wersji oprogramowania:

  • Jeśli atakujący już mają pewien dostęp, możliwość powrotu do podatnego na ataki kodu daje im w praktyce starszą, słabszą wersję zabezpieczeń, którą mogą wykorzystać.

Krok 3: Przechodzenie ścieżek i nadużycie Vshell w celu uzyskania uprawnień administratora

Aby wyjaśnić ścieżkę eskalacji, Ed zagłębia się w przykład klasycznej luki przechodzenia ścieżek, a następnie łączy ją z tym, jak działała luka Cisco.

Na czym polega przechodzenie ścieżek?

Przedstawia uproszczony scenariusz:

  • Narzędzie internetowe pobiera ścieżkę podaną przez użytkownika i wyświetla plik z /var/www/uploads/<user_path>.
  • Jeśli kod nie sprawdza poprawności danych wejściowych, użytkownik może podać ../../../../etc/passwd zamiast nieszkodliwej nazwy pliku.
  • System otwiera wtedy /etc/passwd, wrażliwy plik, mimo że nie był to zamierzony cel.

To jest esencja przechodzenia ścieżek: używanie sekwencji, takich jak ../, aby przejść w górę drzewa katalogów i uzyskać dostęp do plików, do których użytkownik normalnie nie miałby dostępu.

Jak to wykorzystano w ataku?

W ataku na SD-WAN, luka w Vshell (interfejsie wiersza poleceń) pozwoliła atakującym na przechodzenie ścieżek, co umożliwiło im odczytanie sekretu IPC (Inter-Process Communication). Ten sekret, jak się okazało, był kluczem do uzyskania pełnych uprawnień administratora w systemie.

Podsumowanie

W tym odcinku Low Level TV, Ed Woodruff analizuje wyrafinowany, rzeczywisty atak na systemy Cisco SD-WAN przeprowadzony przez grupę hakerską UAT-8616 (Salt Typhoon). Kampania łączyła:

  • Lukę w mechanizmie Peering, która pozwoliła atakującym na utworzenie fałszywego oddziału w sieci SD-WAN firmy.
  • Obniżenie wersji oprogramowania, aby przywrócić CVE-2022-20755, znaną lukę umożliwiającą eskalację uprawnień w CLI.
  • Przechodzenie ścieżek w Vshell, aby odczytać sekret IPC i ostatecznie uruchomić polecenia jako administrator.

W efekcie, dostęp z ograniczonymi uprawnieniami, uzyskany przez fałszywy oddział, został przekształcony w pełną kontrolę nad kontrolerami SD-WAN, co mogło mieć wpływ na każdy oddział firmy.

Kluczowe wnioski z analizy Eda to: utrzymywanie aktualnej wersji oprogramowania SD-WAN, monitorowanie pod kątem nieoczekiwanych połączeń i fałszywych nazw użytkowników oraz uznanie, że chociaż bezpieczniejsze języki, takie jak Rust, pomagają w zakresie bezpieczeństwa pamięci, nie rozwiązują automatycznie luk w projektowaniu na poziomie kryptograficznym lub logicznym. Opisany łańcuch ataków pokazuje, jak warstwowe słabości – luka w Peering, możliwość obniżenia wersji oprogramowania i luki w CLI – mogą połączyć się w jeden z najbardziej zaawansowanych, praktycznych ataków, jakie dotąd widziano na infrastrukturę szerokopasmowych sieci.

post.related
Ed Woodruff
post.detail.share_title

post.detail.comments

comment.empty