Как поддельное отделение захватило контроль над сетью: подробности взлома SD-WAN, осуществленного группировкой UAT-8616.

SD-WAN простыми словами: почему этот взлом имеет значение

В видео Эд Вудруфф из Low Level TV рассказывает о, по его словам, самом продвинутом взломе, который он освещал: реальный взлом систем Cisco SD-WAN группировкой UAT-8616, также известной как Salt Typhoon.

Для начала он объясняет, что такое SD-WAN:

• Старая модель: Компании с большим количеством филиалов исторически использовали выделенные линии связи (T1/T3), а затем MPLS (Multi-Protocol Label Switching) для соединения филиала A с филиалом B через частные, незашифрованные сети.
• Обновление SD-WAN: Программно-определяемые сети (SD-WAN) позволяют филиалам обмениваться данными через любую транспортную сеть (интернет, частные каналы и т. д.), при этом централизованно определяя, как маршрутизируется трафик. Это более гибкое решение, которое может использовать шифрование и маршрутизацию на основе политик.

Поскольку SD-WAN часто находится на периферии критической инфраструктуры, такой как системы водоснабжения и электроснабжения, безопасность его контроллеров и плоскостей управления имеет решающее значение. Именно на это и нацелилась UAT-8616.

Кто такая UAT-8616 / Salt Typhoon?

Эд основывает свой рассказ на публичных отчетах Cisco Talos о китайской группировке, занимающейся киберугрозами:

• UAT-8616, также известная как Salt Typhoon, использует уязвимости нулевого дня в периферийных устройствах и сетевом оборудовании.
• В число их целей входят сектора критической инфраструктуры в США и во всем мире, особенно среды операционных технологий (OT), такие как:
  • Системы водоснабжения
  • Электроэнергетические компании
  • Другие промышленные и инфраструктурные сети

В рамках этой кампании они использовали слабые места в системах Cisco Catalyst SD-WAN, чтобы получить глубокий и постоянный доступ к корпоративным сетям.

Шаг 1: Создание фиктивного филиала через SD-WAN-пиринг

Контроллеры SD-WAN управляют многими филиалами. Когда подключается новый филиал, он должен установить пиринговое соединение с контроллером и подтвердить, что он принадлежит организации. Обычно для этого используются:

• Обмен открытыми и закрытыми ключами или
• Предварительно согласованные симметричные ключи

Идея в том, что новый филиал заявляет: «Я являюсь частью компании; вот доказательство», и контроллер принимает его в плоскость управления/контроля.

Согласно отчету Cisco Talos, на который ссылается Эд:

• UAT-8616 использовала уязвимость в механизме SD-WAN-пиринга.
• Подробности не разглашаются — нет демонстрации концепции, и точная криптографическая или протокольная ошибка неизвестна.

Из отчета Talos, как описано в видео, известно следующее:

• Злоумышленники смогли создать фиктивный филиал в сети SD-WAN.
• Этот фиктивный узел выглядел как любой другой легитимный филиал на сетевой карте.
• Оттуда они могли:
  • Объявлять IP-маршруты
  • Отправлять и получать сетевой трафик
  • Подключаться к плоскости управления/контроля с ограниченными привилегиями

Таким образом, первым успехом для злоумышленников стало тихое превращение в еще один филиал — с достаточным доступом для связи с контроллерами, но пока без прав администратора.

Шаг 2: Понижение версии прошивки для восстановления старой уязвимости (CVE)

Оказавшись в сети SD-WAN с ограниченными правами доступа, UAT-8616 перешла к повышению привилегий. Эд выделяет особенно умный момент: они выполнили атаку по понижению версии прошивки.

Зачем понижать версию?

• Программное обеспечение (в теории) становится более безопасным со временем, поскольку обнаруживаются и устраняются уязвимости.
• В более старых версиях прошивки часто все еще содержатся известные, задокументированные ошибки, такие как CVE прошлых лет.

В данном случае Эд указывает на:

• CVE-2022-20755 — уязвимость в CLI (интерфейсе командной строки) программного обеспечения Cisco SD-WAN.
  • Доступна только аутентифицированному локальному пользователю.
  • Позволяет повысить привилегии до администратора.

Судя по тому, как он рассказывает эту историю:

1. Злоумышленники, действуя как фиктивный филиал, получили доступ к плоскости управления с ограниченными правами.
2. Они понизили версию целевых систем SD-WAN (vCenters / контроллеров) до версии прошивки, которая все еще содержала CVE-2022-20755.
3. С этой более старой версией они могли активировать старую уязвимость, чтобы получить права администратора.

Эд отмечает, что это типичная причина, по которой многие поставщики пытаются блокировать понижение версии прошивки:

• Если у злоумышленника уже есть какой-то доступ, возможность вернуться к уязвимому коду фактически предоставляет ему более старую, слабую базовую линию безопасности, которую можно использовать.

Шаг 3: Обход пути и злоупотребление Vshell для получения прав администратора

Чтобы объяснить путь повышения привилегий, Эд углубляется в пример классической уязвимости обхода пути, а затем связывает ее с тем, как работала уязвимость Cisco.

Что такое обход пути?

Он набрасывает упрощенный сценарий:

• Веб-инструмент принимает путь, предоставленный пользователем, и обслуживает файл из /var/www/uploads/<user_path>.
• Если код не очищает входные данные, пользователь может указать ../../../../etc/passwd вместо безобидного имени файла.
• Затем система открывает /etc/passwd, конфиденциальный файл, хотя это и не предполагалось.

Это суть обхода пути: использование последовательностей, таких как ../, для перемещения вверх по дереву каталогов и доступа к файлам за пределами разрешенной области.

Как это связано с эксплойтом Cisco SD-WAN

Согласно описанию уязвимости, которую приводит Эд:

• Уязвимым компонентом был Vshell, среда CLI SD-WAN.
• Когда пользователь входит в систему, Vshell генерирует файл конфигурации, используя путь к файловой системе и имя пользователя.
• Если имя пользователя не очищается, злоумышленник может вставить в него последовательности обхода.

Цепочка атак, которую он описывает на основе исследования:

1. Создание имени пользователя с последовательностью обхода.
2. Использование созданного имени пользователя для доступа к конфиденциальным файлам.
3. Извлечение секретного ключа IPC.
4. Выполнение команд с правами администратора.

В результате низкоуровневый доступ в виде фиктивного филиала был преобразован в полный контроль над контроллерами SD-WAN, что может повлиять на каждый филиал целевой организации.

Итоговый вывод

В этом эпизоде Low Level TV Эд Вудруфф рассказывает о сложном реальном взломе систем Cisco SD-WAN группировкой UAT-8616 (Salt Typhoon). Кампания включала в себя:

• Уязвимость в механизме пиринга/аутентификации, которая позволила злоумышленникам создать фиктивный филиал в сети SD-WAN компании.
• Понижение версии прошивки для восстановления CVE-2022-20755, известной уязвимости повышения привилегий CLI.
• Обход пути в Vshell для извлечения секретного ключа IPC и, в конечном итоге, выполнения команд с правами администратора.

В результате низкоуровневый доступ в виде фиктивного филиала был преобразован в полный контроль над контроллерами SD-WAN, что может повлиять на каждый филиал целевой организации.

Основные выводы Эда заключаются в том, что необходимо поддерживать актуальность прошивки SD-WAN, отслеживать неожиданные пиринговые соединения и созданные имена пользователей, а также понимать, что, хотя более безопасные языки, такие как Rust, помогают в обеспечении безопасности памяти, они не решают автоматически криптографические или логические ошибки проектирования. Цепочка атак, которую он описывает, показывает, как многослойные уязвимости — пиринг, возможность понижения версии и ошибки CLI — могут объединиться в один из самых продвинутых практических взломов, которые когда-либо происходили в инфраструктуре широкозонных сетей.