Como uma suposta filial fraudulenta assumiu o controle da rede: os bastidores do ataque cibernético à UAT-8616, que explorou a tecnologia SD-WAN.

SD-WAN em Termos Simples: Por que este ataque é importante

No vídeo, Ed Woodruff, da Low Level TV, explica o que ele considera o ataque mais sofisticado que já abordou: uma invasão real de sistemas Cisco SD-WAN pelo grupo de ameaças UAT-8616, também conhecido como Salt Typhoon.

Para contextualizar, ele primeiro explica o SD-WAN em termos gerais:

• Modelo antigo: Empresas com muitas filiais costumavam depender de linhas dedicadas (T1/T3) e, posteriormente, de MPLS (Multi-Protocol Label Switching) para conectar a filial A à filial B por meio de redes privadas e não criptografadas.
• Atualização para SD-WAN: As redes de área ampla definidas por software (SD-WAN) permitem que as filiais se comuniquem por meio de qualquer tipo de conexão (internet, links privados, etc.), definindo centralmente como o tráfego é roteado. É mais flexível e pode usar criptografia e roteamento baseado em políticas.

Como o SD-WAN geralmente está localizado na borda da infraestrutura crítica – como empresas de água e energia –, a segurança de seus controladores e planos de gerenciamento é crucial. Foi exatamente isso que o UAT-8616 visou.

Quem é o UAT-8616 / Salt Typhoon?

Ed baseia a história em relatórios públicos da Cisco Talos sobre um grupo de ameaças chinês:

• O UAT-8616, também chamado de Salt Typhoon, foi observado explorando vulnerabilidades de dia zero em dispositivos de borda e de rede.
• Seus alvos incluem setores de infraestrutura crítica nos EUA e em todo o mundo, especialmente ambientes de tecnologia operacional (OT), como:
  • Empresas de saneamento
  • Empresas de energia
  • Outras redes industriais e de infraestrutura

Nesta campanha, eles exploraram vulnerabilidades nos sistemas Cisco Catalyst SD-WAN para obter acesso profundo e persistente às redes corporativas.

Passo 1: Simulação de uma filial por meio do emparelhamento SD-WAN

Os controladores SD-WAN gerenciam muitas filiais. Quando uma nova filial se junta, ela precisa se emparelhar com o controlador e comprovar que pertence à organização. Normalmente, isso é feito por meio de:

• Trocas de chaves públicas/privadas ou
• Chaves simétricas pré-compartilhadas

A ideia é que a nova filial diga: "Eu faço parte da empresa; aqui está a prova", e o controlador a aceite no plano de gerenciamento/controle.

De acordo com o relatório da Cisco Talos citado por Ed:

• O UAT-8616 explorou uma vulnerabilidade no mecanismo de emparelhamento SD-WAN.
• Os detalhes não são públicos – não há prova de conceito, e a falha exata na criptografia ou no protocolo não é conhecida.

O que se sabe, conforme descrito no vídeo:

• Os invasores conseguiram criar uma filial falsa na estrutura SD-WAN.
• Este nó falso aparecia como qualquer outra filial legítima no mapa da rede.
• A partir daí, eles podiam:
  • Anunciar rotas IP
  • Injetar e receber tráfego de rede
  • Entrar no plano de gerenciamento/controle com privilégios limitados

Portanto, o primeiro sucesso para os invasores foi se tornar silenciosamente apenas mais uma filial – com acesso suficiente para alcançar os controladores, mas ainda não com acesso de administrador.

Passo 2: Rebaixamento de firmware para reativar uma CVE antiga

Depois de estarem dentro da rede SD-WAN como participantes com poucos privilégios, o UAT-8616 passou à elevação de privilégios. Ed destaca uma parte particularmente inteligente: eles executaram um ataque de rebaixamento de firmware.

Por que rebaixar?

• O software é (em teoria) mais seguro com o tempo, à medida que as vulnerabilidades são encontradas e corrigidas.
• O firmware mais antigo geralmente ainda contém bugs conhecidos e documentados – como CVEs de anos anteriores.

Neste caso, Ed aponta para:

• CVE-2022-20755 – uma vulnerabilidade na CLI (interface de linha de comando) do software Cisco SD-WAN.
  • Acessível apenas a um usuário local autenticado.
  • Permite a elevação para administrador.

De acordo com a história, conforme ele a conta:

1. Os invasores, atuando como uma filial falsa, obtiveram acesso de baixo privilégio ao plano de gerenciamento.
2. Eles rebaixaram os sistemas SD-WAN (vCenters / controladores) de destino para uma versão de firmware que ainda continha a CVE-2022-20755.
3. Com essa imagem mais antiga em execução, eles podiam ativar o bug antigo para obter acesso de administrador.

Ed observa que esta é uma razão clássica pela qual muitos fornecedores tentam bloquear o rebaixamento de firmware:

• Se um invasor já tiver algum acesso, a capacidade de retornar ao código vulnerável efetivamente lhe dá uma base de segurança mais antiga e fraca para explorar.

Passo 3: Travessia de caminho e abuso de Vshell para obter acesso de administrador

Para explicar o caminho de elevação de privilégios, Ed analisa um exemplo de uma vulnerabilidade clássica de travessia de caminho e, em seguida, relaciona isso com o funcionamento do bug da Cisco.

O que é uma travessia de caminho?

Ele esboça um cenário simplificado:

• Uma ferramenta da web recebe um caminho fornecido pelo usuário e serve um arquivo de /var/www/uploads/<caminho_do_usuário>.
• Se o código não higienizar a entrada, o usuário pode fornecer ../../../../etc/passwd em vez de um nome de arquivo inofensivo.
• O sistema então abre /etc/passwd, um arquivo confidencial, embora isso não fosse a intenção.

Essa é a essência de uma travessia de caminho: usar sequências como ../ para subir na árvore de diretórios e acessar arquivos fora da área permitida.

Como isso se relaciona à exploração do Cisco SD-WAN

De acordo com a descrição da vulnerabilidade resumida por Ed:

• O componente vulnerável era o Vshell, o ambiente CLI do SD-WAN.
• Quando um usuário faz login, o Vshell gera um arquivo de configuração usando um caminho do sistema de arquivos mais o nome de usuário.
• Se o nome de usuário não for higienizado, um invasor pode incorporar sequências de travessia nele.

A cadeia de ataque que ele descreve a partir da pesquisa:

1. Nome de usuário criado

   • O invasor define um nome de usuário como .temp/../foo/../external (exemplo de espaço reservado) que inclui sequências de travessia.
   • Isso engana o Vshell para ler um arquivo localizado fora do diretório pretendido.

2. Vazamento de um segredo IPC confidencial

   • Usando essa técnica, o invasor lê confd_ipc_secret, um segredo usado para comunicação entre processos (IPC).

3. Execução de comandos como administrador

   • Com o segredo IPC, o invasor pode se autenticar como administrador e executar comandos no sistema.

O resultado: uma posição inicial com poucos privilégios como uma filial falsa foi transformada em controle total dos controladores SD-WAN, com potencial impacto em todas as filiais de uma organização alvo.

Resumo final

Neste episódio da Low Level TV, Ed Woodruff analisa um ataque sofisticado e real contra os sistemas Cisco SD-WAN pelo grupo de ameaças UAT-8616 (Salt Typhoon). A campanha combinou:

• Uma falha de emparelhamento/autenticação que permitiu que os invasores criassem uma filial falsa na estrutura SD-WAN de uma empresa.
• Um rebaixamento de firmware para reativar a CVE-2022-20755, um bug conhecido de elevação de privilégios na CLI.
• Uma travessia de caminho no Vshell para vazar um segredo IPC e, finalmente, executar comandos como administrador.

O resultado: uma posição inicial com poucos privilégios como uma filial falsa foi transformada em controle total dos controladores SD-WAN, com potencial impacto em todas as filiais de uma organização alvo.

As principais conclusões de Ed são manter o firmware SD-WAN atualizado, monitorar a presença de pares inesperados e nomes de usuário criados e reconhecer que, embora linguagens mais seguras, como Rust, ajudem com a segurança da memória, elas não resolvem automaticamente falhas de design criptográfico ou lógico. A cadeia de ataque que ele descreve mostra como fraquezas em camadas – emparelhamento, capacidade de rebaixamento e bugs da CLI – podem se combinar em um dos ataques práticos mais sofisticados já vistos contra a infraestrutura de rede de área ampla.