Logga in
Hur ett falskt filialkontor tog över nätverket: En inblick i UAT-8616:s SD-WAN-attack.

För att ta del av detta, var god godkänn funktionella cookies här

Sqa17ll
Sqa17llInlägg
för 2 månader sedan4 min läsning

Hur ett falskt filialkontor tog över nätverket: En inblick i UAT-8616:s SD-WAN-attack.

0 Gillar

SD-WAN förklarat: Varför detta intrång är viktigt

I videon går Ed Woodruff från Low Level TV igenom vad han kallar det mest avancerade intrånget han har rapporterat om: ett verkligt intrång i Cisco SD-WAN-system av hotaktören UAT-8616, även känd som Salt Typhoon.

För att sätta scenen förklarar han först SD-WAN på en övergripande nivå:

  • Gammal modell: Företag med många filialer förlitade sig historiskt på privata hyrda linjer (T1/T3) och senare MPLS (Multi-Protocol Label Switching) för att ansluta filial A till filial B över privata, oskyddade nätverk.
  • SD-WAN-uppgradering: Programvarudefinierade bredbandsnätverk (SD-WAN) gör det möjligt för filialer att kommunicera över vilken transport som helst (internet, privata länkar, etc.) samtidigt som de centralt definierar hur trafiken dirigeras. Det är mer flexibelt och kan använda kryptering och policybaserad dirigering.

Eftersom SD-WAN ofta finns i utkanten av kritisk infrastruktur – som vatten- och kraftverk – är säkerheten för dess kontrollenheter och hanteringsplaner avgörande. Det är precis vad UAT-8616 riktade in sig på.

Vem är UAT-8616 / Salt Typhoon?

Ed baserar berättelsen på offentlig information från Cisco Talos om en kinesisk hotaktör:

  • UAT-8616, även kallad Salt Typhoon, har observerats utnyttja sårbarheter av typen "zero-day" i enhets- och nätverksenheter.
  • Deras mål inkluderar kritisk infrastruktur i USA och världen, särskilt operativ teknik (OT), som:
    • Vattenverk
    • Kraftbolag
    • Andra industriella och infrastrukturnätverk

I denna kampanj utnyttjade de svagheter i Cisco Catalyst SD-WAN-system för att få djupgående och ihållande åtkomst till företagsnätverk.

Steg 1: Förfalska en filial via SD-WAN-peering

SD-WAN-kontrollenheter hanterar många filialer. När en ny filial ansluts måste den peera med kontrollenheten och bevisa att den tillhör organisationen. Vanligtvis används:

  • Offentliga/privata nyckelutbyten, eller
  • Fördelade symmetriska nycklar

Tanken är att en ny filial säger: "Jag är en del av företaget; här är beviset", och kontrollenheten accepterar den i hanterings-/kontrollplanet.

Enligt Cisco Talos-rapporten som Ed citerar:

  • UAT-8616 utnyttjade en sårbarhet i SD-WAN-peeringmekanismen.
  • Detaljerna är inte offentliga – det finns inget proof-of-concept, och den exakta kryptografiska eller protokollrelaterade buggen är inte känd.

Det som är känt från Talos-rapporten, som beskrivs i videon:

  • Angriparna kunde skapa en falsk filial i SD-WAN-nätverket.
  • Denna falska nod såg ut som vilken annan legitim filial som helst på nätverkskartan.
  • Därifrån kunde de:
    • Annonsera IP-vägar
    • Injicera och ta emot nätverkstrafik
    • Ansluta till hanterings-/kontrollplanet med begränsade rättigheter

Så den första "vinsten" för angriparna var att tyst bli ännu en filial – med tillräckligt med åtkomst för att nå kontrollenheterna, men ännu inte root-åtkomst.

Steg 2: Firmware-nedgradering för att återuppliva en gammal CVE

När de väl var inne i SD-WAN-nätverket som en användare med låga rättigheter, gick UAT-8616 vidare till att öka sina rättigheter. Ed lyfter fram en särskilt smart del: de utförde en firmware-nedgraderingsattack.

Varför nedgradera?

  • Programvara är (i teorin) säkrare med tiden eftersom sårbarheter hittas och åtgärdas.
  • Äldre firmware innehåller ofta fortfarande kända, dokumenterade buggar – som CVE:er från tidigare år.

I detta fall pekar Ed på:

  • CVE-2022-20755 – en sårbarhet i CLI (kommandoradsgränssnittet) för Cisco SD-WAN-programvara.
    • Endast tillgänglig för en autentiserad lokal användare.
    • Tillåter eskalering till root.

Från berättelsen som han berättar:

  1. Angriparna, som agerade som en falsk filial, fick åtkomst till hanteringsplanet med låga rättigheter.
  2. De nedgraderade de målriktade SD-WAN-systemen (vCenters / kontrollenheter) till en firmware-version som fortfarande innehöll CVE-2022-20755.
  3. Med den äldre versionen kunde de utlösa den gamla buggen för att eskalera till root.

Ed noterar att detta är ett typiskt skäl till att många leverantörer försöker förhindra firmware-nedgraderingar:

  • Om en angripare redan har viss åtkomst, ger möjligheten att återgå till sårbar kod dem effektivt en äldre, svagare säkerhetsbas att utnyttja.

Steg 3: Sökvägsgenomgång och Vshell-missbruk för att nå root

För att förklara eskaleringens väg dyker Ed ner i ett exempel på en klassisk sökvägsgenomgångs-sårbarhet och kopplar den sedan till hur Cisco-buggen fungerade.

Vad är en sökvägsgenomgång?

Han skissar ett förenklat scenario:

  • Ett webbverktyg tar en användarspecificerad sökväg och visar en fil från /var/www/uploads/<user_path>.
  • Om koden inte rensar inmatningen kan användaren ange ../../../../etc/passwd istället för ett ofarligt filnamn.
  • Systemet öppnar då /etc/passwd, en känslig fil, även om det inte var avsett.

Detta är kärnan i en sökvägsgenomgång: att använda sekvenser som ../ för att gå upp i katalogträdet och komma åt filer utanför det tillåtna området.

Hur detta relaterade till Cisco SD-WAN-utnyttjandet

Enligt sårbarhetsbeskrivningen som Ed sammanfattar:

  • Den sårbara komponenten var Vshell, SD-WAN-CLI.
  • Om någon del beror på minneskorruption under parsning, kan Rust hjälpa.
  • Men om det huvudsakliga problemet är inmatningsvalidering och sökvägshanteringslogik, är det fortfarande upp till programmeraren, även i Rust.

Han noterar också en praktisk begränsning:

  • Många routrar och SD-WAN-system av operatörsklass körs på realtidsoperativsystem (RTOS) med strikta prestanda- och schemaläggningskrav.
  • Realtids-Rust är fortfarande ett område under utveckling. Projekt som Embassy och Arctic finns, men det är ännu inte ett universellt löst eller moget område för alla leverantörer.

Så i detta exempel är Rust inte en "silver bullet"; problemen verkar vara design- och logikrelaterade snarare än enbart minnessäkerhet.

Slutsats

I detta avsnitt av Low Level TV, går Ed Woodruff igenom ett sofistikerat verkligt intrång mot Cisco SD-WAN-system av hotaktören UAT-8616 (Salt Typhoon). Kampanjen kombinerade:

  • En peering-/autentiseringsfel som lät angriparna skapa en falsk filial i ett företags SD-WAN-nätverk.
  • En firmware-nedgradering för att återuppliva CVE-2022-20755, en känd CLI-sårbarhet för eskalering av rättigheter.
  • En sökvägsgenomgång i Vshell för att läcka en IPC-hemlighet och slutligen utföra kommandon som root.

Resultatet: ett intrång med låga rättigheter som en falsk filial förvandlades till fullständig kontroll över SD-WAN-kontrollenheter, med potentiell påverkan på varje filial i en målorganisation.

Eds viktigaste slutsatser är att hålla SD-WAN-firmware uppdaterad, övervaka efter oväntade peers och förfalskade användarnamn, och inse att även om säkrare språk som Rust hjälper till med minnessäkerhet, löser de inte automatiskt kryptografiska eller logikrelaterade designfel. Attackkedjan han beskriver visar hur skiktade svagheter – peering, nedgraderingsmöjlighet och CLI-buggar – kan kombineras till ett av de mest avancerade praktiska intrången som setts mot bredbandsnätverksinfrastruktur.

Relaterat inlägg
Ed Woodruff
Dela detta inlägg

Kommentarer

Inga kommentarer ännu. Bli den första att delta i diskussionen.