Sahte Bir Şube Nasıl Ağın Kontrolünü Ele Geçirdi: UAT-8616’nın SD-WAN Saldırısının İç Yüzü

SD-WAN'ı Anlaşılır Bir Dille Açıklayalım: Bu Saldırının Önemi

Videoda, Low Level TV'den Ed Woodruff, kendisinin şimdiye kadar ele aldığı en gelişmiş saldırı olarak tanımladığı şeyi anlatıyor: UAT-8616 (aynı zamanda Salt Typhoon olarak da bilinir) adlı tehdit aktörünün Cisco SD-WAN sistemlerine yönelik gerçek dünyada gerçekleştirilen bir saldırı.

Konuya giriş yapmak için öncelikle SD-WAN'ı genel hatlarıyla açıklıyor:

• Eski model: Birçok şubesi olan şirketler, geçmişte özel hatlar (T1/T3) ve daha sonra MPLS (Çok Protokollü Etiket Anahtarlama) kullanarak A şubesini, özel ve şifrelenmemiş ağlar üzerinden B şubesine bağlardı.
• SD-WAN yükseltmesi: Yazılım Tabanlı Geniş Alan Ağları, şubelerin herhangi bir iletişim kanalı (internet, özel hatlar vb.) üzerinden iletişim kurmasını sağlarken, trafiğin nasıl yönlendirileceğini merkezi olarak tanımlar. Daha esnektir ve şifreleme ve politika tabanlı yönlendirme kullanabilir.

SD-WAN genellikle kritik altyapının (su ve enerji tesisleri gibi) kenarında yer aldığı için, kontrol cihazlarının ve yönetim düzlemlerinin güvenliği çok önemlidir. UAT-8616 tam olarak bunu hedef almıştır.

UAT-8616 / Salt Typhoon Kimdir?

Ed, hikayesini Cisco Talos'un bir Çinli tehdit aktörü hakkında yayınladığı kamuya açık bilgilere dayandırıyor:

• UAT-8616, aynı zamanda Salt Typhoon olarak da bilinir ve ağın kenar ve ağ cihazlarındaki sıfır gün güvenlik açıklarından yararlandığı görülmüştür.
• Hedefleri arasında ABD ve dünya genelindeki kritik altyapı sektörleri, özellikle de operasyonel teknoloji (OT) ortamları bulunmaktadır:
  • Su tesisleri
  • Enerji şirketleri
  • Diğer endüstriyel ve altyapı ağları

Bu kampanyada, Cisco Catalyst SD-WAN sistemlerindeki zayıflıklardan yararlanarak kurumsal ağlara derin ve kalıcı erişim sağladılar.

Adım 1: SD-WAN Eşleme Aracılığıyla Bir Şubenin Taklit Edilmesi

SD-WAN kontrol cihazları birçok şubeyi yönetir. Yeni bir şube katıldığında, kontrol cihazıyla eşleşmeli ve kuruluşun bir parçası olduğunu kanıtlamalıdır. Genellikle şunlar kullanılır:

• Genel/özel anahtar değişimi veya
• Önceden paylaşılan simetrik anahtarlar

Amaç: yeni bir şube, "Ben şirketin bir parçasıyım; işte kanıt" diyerek, kontrol cihazının onu yönetim/kontrol düzlemine kabul etmesini sağlamaktır.

Cisco Talos'un Ed'in alıntı yaptığı raporuna göre:

• UAT-8616, SD-WAN eşleme mekanizmasındaki bir güvenlik açığından yararlandı.
• Ayrıntılar kamuya açık değil: bir kavram kanıtı bulunmuyor ve tam olarak hangi kriptografik veya protokol hatasının olduğu bilinmiyor.

Talos'un videoda anlatıldığı gibi yayınladığı bilgilerden bilinenler:

• Saldırganlar, SD-WAN yapısında sahte bir şube oluşturabildiler.
• Bu sahte düğüm, ağ haritasındaki diğer meşru şubeler gibi görünüyordu.
• Buradan şunları yapabilirlerdi:
  • IP rotalarını yayınlayabilirler
  • Ağ trafiğini enjekte edebilir ve alabilirler
  • Sınırlı ayrıcalıklarla yönetim/kontrol düzlemine katılabilirler

Bu nedenle, saldırganlar için ilk başarı, sessizce başka bir şube gibi görünmek oldu; bu, kontrol cihazlarına erişmek için yeterli, ancak henüz kök erişimi sağlamayan bir durumdu.

Adım 2: Eski Bir CVE'yi Canlandırmak İçin Donanım Yazılımının Düşürülmesi

SD-WAN ağı içinde düşük ayrıcalıklı bir katılımcı olarak yer aldıktan sonra, UAT-8616 ayrıcalık yükseltmeye geçti. Ed, özellikle zekice bir noktayı vurguluyor: bir donanım yazılımı düşürme saldırısı gerçekleştirdiler.

Neden düşürme?

• Yazılım, güvenlik açıkları bulundukça ve yamalar uygulandıkça teorik olarak zamanla daha güvenlidir.
• Daha eski donanım yazılımları genellikle hala bilinen, belgelenmiş hatalar içerir; örneğin, önceki yıllardan kalma CVE'ler.

Bu durumda, Ed şunları belirtiyor:

• CVE-2022-20755 – Cisco SD-WAN yazılımının CLI'sinde (komut satırı arayüzü) bulunan bir güvenlik açığı.
  • Yalnızca kimliği doğrulanmış yerel bir kullanıcı tarafından erişilebilir.
  • Kök erişimine yükseltmeye olanak tanır.

Ed'in anlattığı hikayeden:

1. Saldırganlar, sahte bir şube gibi davranarak düşük ayrıcalıklı yönetim düzlemi erişimi elde ettiler.
2. Hedeflenen SD-WAN sistemlerini (vCenter'lar / kontrol cihazları), hala CVE-2022-20755'i içeren bir donanım yazılımı sürümüne düşürdüler.
3. Bu eski sürüm çalışırken, eski hatayı tetikleyerek kök erişimine yükseltebildiler.

Ed, bunun birçok satıcının donanım yazılımı düşürmeyi engellemeye çalışmasının klasik bir nedeni olduğunu belirtiyor:

• Bir saldırgan zaten bir miktar erişime sahipse, güvenlik açığı olan koda geri dönme yeteneği, onlara sömürmeleri için daha eski, daha zayıf bir güvenlik temelini etkili bir şekilde verir.

Adım 3: Yönlendirme Yolu İzleme ve Vshell Kötüye Kullanımı ile Kök Erişime Ulaşma

Ayrıcalık yükseltme yolunu açıklamak için Ed, klasik bir yönlendirme yolu izleme güvenlik açığının bir örneğine dalıyor ve ardından bunu Cisco'nun güvenlik açığının nasıl çalıştığıyla ilişkilendiriyor.

Yönlendirme yolu izleme nedir?

Basitleştirilmiş bir senaryo çiziyor:

• Bir web aracı, kullanıcı tarafından sağlanan bir yolu alır ve /var/www/uploads/<user_path> konumundan bir dosya sunar.
• Kod, girdiyi temizlemezse, kullanıcı bunun yerine ../../../../etc/passwd girebilir.
• Sistem daha sonra /etc/passwd dosyasını açar; bu, hassas bir dosyadır, ancak bunun amaçlanmamıştır.

Bu, yönlendirme yolu izlemenin özüdür: ../ gibi dizileri kullanarak dizin ağacında yukarı doğru yürüyerek izin verilen alanın dışındaki dosyalara erişmek.

Bunun Cisco'nun güvenlik açığıyla nasıl ilişkili olduğu

Herhangi bir bölüm, ayrıştırma sırasında bellek bozulmasına dayanıyorsa, Rust yardımcı olabilir. Ancak, temel sorun girdi doğrulama ve yol işleme mantığı ise, bu hala programcıya bağlıdır, hatta Rust'ta bile.

Ayrıca, pratik bir kısıtlama da var:

• Birçok taşıyıcı sınıfı yönlendirici ve SD-WAN sistemi, gerçek zamanlı işletim sistemleri (RTOS) üzerinde çalışır ve sıkı performans ve zamanlama gereksinimlerine sahiptir.
• Gerçek zamanlı Rust hala geliştirme aşamasındadır. Embassy ve Arctic gibi projeler var, ancak henüz tüm satıcılar için evrensel olarak çözülmüş veya olgun bir alan değil.

Bu nedenle, bu örnekte Rust bir sihirli değnek değil; sorunlar, bellek güvenliğinden ziyade tasarım ve mantıkla ilgilidir.

Son Özet

Bu Low Level TV bölümünde, Ed Woodruff, UAT-8616 (Salt Typhoon) tehdit aktörünün Cisco SD-WAN sistemlerine yönelik karmaşık bir gerçek dünya saldırısını anlatıyor. Kampanya şunları bir araya getirdi:

• Saldırganların bir şirketin SD-WAN yapısında sahte bir şube oluşturmasına olanak tanıyan bir eşleme/kimlik doğrulama hatası.
• CVE-2022-20755 adlı bilinen bir CLI ayrıcalık yükseltme hatasını yeniden canlandıran bir donanım yazılımı düşürme.
• Son olarak, yönetim/kontrol cihazlarının tam kontrolünü elde etmek için Vshell'de bir yönlendirme yolu izleme ve IPC sırrının sızdırılması.

Sonuç: düşük ayrıcalıklı bir başlangıç noktası olan sahte bir şube, hedef kuruluşun her şubesini etkileyebilecek potansiyele sahip, SD-WAN kontrol cihazlarının tam kontrolüne dönüştürüldü.

Ed'in temel çıkarımları, SD-WAN donanım yazılımını güncel tutmak, beklenmedik eşler ve özel karakterler için izleme yapmak ve daha güvenli dillerin (Rust gibi) bellek güvenliğine yardımcı olsa da, kriptografik veya mantık düzeyindeki tasarım kusurlarını otomatik olarak çözmediğini anlamaktır. Anlattığı saldırı zinciri, katmanlı zayıflıkların (eşleme, düşürme yeteneği ve CLI hataları) geniş alan ağ altyapısına yönelik en gelişmiş pratik saldırılardan birinde nasıl birleşebileceğini gösteriyor.