เข้าสู่ระบบ
วิธีการที่สำนักงานสาขาปลอมเข้าควบคุมเครือข่าย: เผยเบื้องหลังการโจมตีระบบ SD-WAN ของ UAT-8616

To see this, please enable functional cookies here

Sqa17ll
Sqa17llโพสต์
2 เดือนที่ผ่านมา2 นาทีในการอ่าน

วิธีการที่สำนักงานสาขาปลอมเข้าควบคุมเครือข่าย: เผยเบื้องหลังการโจมตีระบบ SD-WAN ของ UAT-8616

0 ถูกใจ

SD-WAN ในรูปแบบที่เข้าใจง่าย: ทำไมการโจมตีนี้จึงมีความสำคัญ

ในวิดีโอ Ed Woodruff จาก Low Level TV อธิบายถึงการโจมตีที่ซับซ้อนที่สุดที่เขาเคยรายงาน: การโจมตีระบบ Cisco SD-WAN ในโลกจริงโดยกลุ่มผู้โจมตี UAT-8616 หรือที่รู้จักกันในชื่อ Salt Typhoon

เพื่อปูพื้นฐาน เขาเริ่มต้นด้วยการอธิบาย SD-WAN ในภาพรวม:

  • รูปแบบเก่า: บริษัทที่มีสาขาจำนวนมากมักจะพึ่งพาเส้นเชื่อมต่อส่วนตัว (T1/T3) และต่อมาคือ MPLS (Multi-Protocol Label Switching) เพื่อเชื่อมต่อสาขา A กับสาขา B ผ่านเครือข่ายส่วนตัวที่ไม่มีการเข้ารหัส
  • การอัปเกรด SD-WAN: เครือข่ายพื้นที่กว้างที่กำหนดโดยซอฟต์แวร์ (Software-Defined Wide Area Networks) ช่วยให้สาขาต่างๆ สามารถสื่อสารผ่าน ช่องทางการสื่อสารใดๆ ก็ได้ (อินเทอร์เน็ต, เส้นเชื่อมต่อส่วนตัว, ฯลฯ) ในขณะที่กำหนดวิธีการกำหนดเส้นทางการรับส่งข้อมูลจากส่วนกลาง ทำให้มีความยืดหยุ่นมากขึ้น และสามารถใช้การเข้ารหัสและการกำหนดเส้นทางตามนโยบายได้

เนื่องจาก SD-WAN มักจะอยู่ในส่วนปลายของโครงสร้างพื้นฐานที่สำคัญ เช่น ระบบน้ำและระบบไฟฟ้า ความปลอดภัยของตัวควบคุมและส่วนจัดการจึงมีความสำคัญอย่างยิ่ง และ UAT-8616 ก็มุ่งเป้าไปที่จุดนี้

UAT-8616 / Salt Typhoon คือใคร?

Ed อ้างอิงจากรายงานสาธารณะของ Cisco Talos เกี่ยวกับกลุ่มผู้โจมตีชาวจีน:

  • UAT-8616 หรือที่เรียกว่า Salt Typhoon ได้ถูกพบว่าใช้ประโยชน์จาก ช่องโหว่แบบ zero-day ในอุปกรณ์ส่วนปลายและอุปกรณ์เครือข่าย
  • เป้าหมายของพวกเขารวมถึงโครงสร้างพื้นฐานที่สำคัญในสหรัฐอเมริกาและทั่วโลก โดยเฉพาะอย่างยิ่ง สภาพแวดล้อมเทคโนโลยีการปฏิบัติงาน (OT) เช่น:
    • ระบบน้ำประปา
    • บริษัทพลังงาน
    • เครือข่ายอุตสาหกรรมและโครงสร้างพื้นฐานอื่นๆ

ในการโจมตีครั้งนี้ พวกเขาใช้ประโยชน์จากจุดอ่อนในระบบ Cisco Catalyst SD-WAN เพื่อเข้าถึงเครือข่ายขององค์กรได้อย่างลึกซึ้งและต่อเนื่อง

ขั้นตอนที่ 1: การปลอมแปลงสาขาผ่าน SD-WAN Peering

ตัวควบคุม SD-WAN จัดการสาขาจำนวนมาก เมื่อ สาขาใหม่เข้าร่วม จะต้อง เชื่อมต่อ กับตัวควบคุมและพิสูจน์ว่าตนเองเป็นส่วนหนึ่งขององค์กร โดยทั่วไปแล้วจะใช้:

  • การแลกเปลี่ยนคีย์สาธารณะ/ส่วนตัว หรือ
  • คีย์สมมาตรที่กำหนดไว้ล่วงหน้า

แนวคิดคือ สาขาใหม่กล่าวว่า "ฉันเป็นส่วนหนึ่งของบริษัท นี่คือหลักฐาน" และตัวควบคุมจะยอมรับให้เข้าร่วมในส่วนจัดการ/ควบคุม

ตามรายงานของ Cisco Talos ที่ Ed อ้างถึง:

  • UAT-8616 ใช้ประโยชน์จาก ช่องโหว่ในกลไก SD-WAN peering
  • รายละเอียด ไม่ได้เปิดเผยต่อสาธารณะ ไม่มีหลักฐานที่เป็นรูปธรรม และไม่ทราบถึงข้อผิดพลาดที่แท้จริงในด้านการเข้ารหัสหรือโปรโตคอล

สิ่งที่ทราบจากรายงานของ Talos ตามที่อธิบายไว้ในวิดีโอ:

  • ผู้โจมตีสามารถ สร้างสาขาปลอม ในโครงสร้างพื้นฐาน SD-WAN ได้
  • โหนดปลอมนี้ดูเหมือนสาขาที่ถูกต้องตามกฎหมายอื่นๆ บนแผนผังเครือข่าย
  • จากจุดนี้ พวกเขาสามารถ:
    • โฆษณาเส้นทาง IP
    • ส่งและรับการรับส่งข้อมูลเครือข่าย
    • เข้าร่วม ส่วนจัดการ/ควบคุม ด้วย สิทธิ์ที่จำกัด

ดังนั้นชัยชนะครั้งแรกของผู้โจมตีคือ การแฝงตัวเป็นเพียงสาขาหนึ่ง โดยมีสิทธิ์เข้าถึงเพียงพอที่จะเข้าถึงตัวควบคุมได้ แต่ยังไม่ใช่สิทธิ์ระดับสูงสุด

ขั้นตอนที่ 2: การลดระดับเฟิร์มแวร์เพื่อฟื้นฟูช่องโหว่ CVE เก่า

เมื่อเข้าไปในเครือข่าย SD-WAN ในฐานะผู้ที่มีสิทธิ์จำกัด UAT-8616 ได้ดำเนินการเพื่อเพิ่มสิทธิ์ Ed เน้นย้ำถึงส่วนที่ชาญฉลาดเป็นพิเศษ: พวกเขาได้ดำเนินการ การโจมตีด้วยการลดระดับเฟิร์มแวร์

ทำไมต้องลดระดับ?

  • โดยทั่วไปแล้ว ซอฟต์แวร์จะ มีความปลอดภัยมากขึ้นเมื่อเวลาผ่านไป เนื่องจากมีการค้นพบและแก้ไขช่องโหว่
  • เฟิร์มแวร์รุ่นเก่ามักจะมี ข้อผิดพลาดที่ทราบและบันทึกไว้ เช่น CVE จากปีก่อนๆ

ในกรณีนี้ Ed ชี้ไปที่:

  • CVE-2022-20755 – ช่องโหว่ใน CLI (command-line interface) ของซอฟต์แวร์ Cisco SD-WAN
    • สามารถเข้าถึงได้โดย ผู้ใช้ในเครื่องที่ผ่านการรับรอง เท่านั้น
    • ช่วยให้สามารถเพิ่มสิทธิ์ไปยัง ระดับสูงสุด ได้

จากเรื่องราวที่เขาเล่า:

  1. ผู้โจมตีในฐานะสาขาปลอม ได้รับสิทธิ์เข้าถึงส่วนจัดการในระดับต่ำ
  2. พวกเขา ลดระดับ ระบบ SD-WAN (vCenters / controllers) ที่กำหนดเป้าหมายไปยังเวอร์ชันเฟิร์มแวร์ที่มี CVE-2022-20755 อยู่
  3. ด้วยภาพเก่าที่ทำงานอยู่ พวกเขาสามารถ กระตุ้นให้เกิดข้อผิดพลาดเก่า เพื่อเพิ่มสิทธิ์ไปยังระดับสูงสุดได้

Ed กล่าวว่านี่คือเหตุผลสำคัญที่ผู้ขายหลายรายพยายาม บล็อกการลดระดับเฟิร์มแวร์:

  • หากผู้โจมตีมีสิทธิ์เข้าถึงอยู่แล้ว ความสามารถในการย้อนกลับไปยังโค้ดที่มีช่องโหว่ จะทำให้พวกเขามีระบบความปลอดภัยที่อ่อนแอกว่าเดิม

ขั้นตอนที่ 3: การข้ามเส้นทางและการใช้ประโยชน์จาก Vshell เพื่อเข้าถึงระดับสูงสุด

เพื่ออธิบายเส้นทางการเพิ่มสิทธิ์ Ed ได้อธิบายถึงตัวอย่างของช่องโหว่ การข้ามเส้นทาง แบบคลาสสิก จากนั้นจึงเชื่อมโยงกับวิธีการทำงานของข้อผิดพลาดของ Cisco

การข้ามเส้นทางคืออะไร?

เขาได้ร่างสถานการณ์ที่ง่ายขึ้น:

  • เครื่องมือบนเว็บรับ เส้นทางที่ผู้ใช้ระบุ และแสดงไฟล์จาก /var/www/uploads/<user_path>
  • หากโค้ดไม่ได้ตรวจสอบอินพุต ผู้ใช้สามารถระบุ ../../../../etc/passwd แทนชื่อไฟล์ที่ไม่เป็นอันตราย
  • จากนั้นระบบจะเปิด /etc/passwd ซึ่งเป็นไฟล์ที่ละเอียดอ่อน แม้ว่าจะไม่ได้ตั้งใจไว้ก็ตาม

นี่คือสาระสำคัญของการข้ามเส้นทาง: การใช้ลำดับเช่น ../ เพื่อ เลื่อนขึ้นไปในโครงสร้างไดเรกทอรี และเข้าถึงไฟล์นอกพื้นที่ที่อนุญาต

วิธีการที่เกี่ยวข้องกับการโจมตี Cisco SD-WAN

ตามคำอธิบายช่องโหว่ที่ Ed สรุป:

  • ส่วนประกอบที่มีช่องโหว่คือ Vshell ซึ่งเป็นสภาพแวดล้อม CLI ของ SD-WAN
  • หากส่วนใดส่วนหนึ่งเกี่ยวข้องกับ การทุจริตหน่วยความจำระหว่างการแยกวิเคราะห์ Rust อาจช่วยได้
  • แต่ถ้าปัญหาหลักคือ การตรวจสอบอินพุตและตรรกะการจัดการเส้นทาง นั่นยังคงเป็นหน้าที่ของโปรแกรมเมอร์ แม้ว่าจะใช้ Rust ก็ตาม

นอกจากนี้ เขายังกล่าวถึงข้อจำกัดในทางปฏิบัติ:

  • เราเตอร์ระดับผู้ให้บริการและระบบ SD-WAN จำนวนมากทำงานบน ระบบปฏิบัติการแบบเรียลไทม์ (RTOS) ที่มีข้อกำหนดด้านประสิทธิภาพและการจัดตารางเวลาที่เข้มงวด
  • Real-time Rust ยังคงเป็นสาขาที่กำลังพัฒนา โครงการต่างๆ เช่น Embassy และ Arctic มีอยู่ แต่ยังไม่ใช่พื้นที่ที่ได้รับการแก้ไขหรือเป็นที่ยอมรับในระดับสากลสำหรับผู้ขายทั้งหมด

ดังนั้นในตัวอย่างนี้ Rust ไม่ใช่กระสุนวิเศษ ปัญหาดูเหมือนจะเป็น การออกแบบและตรรกะ มากกว่าที่จะเป็นเพียงความปลอดภัยของหน่วยความจำ

สรุป

ในตอนของ Low Level TV ตอนนี้ Ed Woodruff ได้อธิบายถึงการโจมตีที่ซับซ้อนในโลกจริงต่อระบบ Cisco SD-WAN โดยกลุ่มผู้โจมตี UAT-8616 (Salt Typhoon) การโจมตีนี้รวมถึง:

  • ช่องโหว่ในการเชื่อมต่อ/การรับรอง ที่ช่วยให้ผู้โจมตีสามารถ สร้างสาขาปลอม ในโครงสร้างพื้นฐาน SD-WAN ของบริษัท
  • การลดระดับเฟิร์มแวร์ เพื่อฟื้นฟู CVE-2022-20755 ซึ่งเป็นช่องโหว่ที่ทราบในการเพิ่มสิทธิ์ CLI
  • การข้ามเส้นทาง ใน Vshell เพื่อเปิดเผย ข้อมูลลับ IPC และท้ายที่สุดคือดำเนินการคำสั่งในฐานะ ผู้ใช้ระดับสูงสุด

ผลลัพธ์: จุดเริ่มต้นที่มีสิทธิ์จำกัดในฐานะสาขาปลอมได้กลายเป็นสิทธิ์ควบคุมระบบ SD-WAN อย่างเต็มที่ ซึ่งอาจส่งผลกระทบต่อทุกสาขาขององค์กรเป้าหมาย

ข้อสรุปหลักของ Ed คือการอัปเดตเฟิร์มแวร์ SD-WAN อย่างสม่ำเสมอ ตรวจสอบหาเพื่อนร่วมงานที่ไม่คาดคิดและชื่อผู้ใช้ที่ถูกสร้างขึ้น และตระหนักว่าแม้ว่าภาษาที่ปลอดภัยกว่า เช่น Rust จะช่วยในเรื่องความปลอดภัยของหน่วยความจำ แต่ก็ไม่ได้แก้ไขข้อผิดพลาดในการออกแบบหรือตรรกะโดยอัตโนมัติ การโจมตีที่เขาอธิบายแสดงให้เห็นว่าจุดอ่อนที่ซับซ้อน - การเชื่อมต่อ, ความสามารถในการลดระดับ และข้อผิดพลาด CLI - สามารถรวมกันเพื่อสร้างการโจมตีที่ซับซ้อนที่สุดที่เคยเห็นในการโจมตีโครงสร้างพื้นฐานเครือข่ายพื้นที่กว้าง

บทความที่เกี่ยวข้อง
Ed Woodruff
แชร์โพสต์นี้

ความคิดเห็น

ยังไม่มีความคิดเห็น. เป็นคนแรกที่เข้าร่วมการอภิปราย.