Як фіктивне відділення захопило контроль над мережею: деталі злому SD-WAN організації UAT-8616.

SD-WAN простими словами: чому цей злом має значення

У відео Ед Вудрафф з Low Level TV розповідає про, на його думку, найскладніший злом, який він висвітлював: реальний злом систем Cisco SD-WAN зловмисником UAT-8616, також відомим як Salt Typhoon.

Щоб створити контекст, він спочатку пояснює SD-WAN у загальних рисах:

• Стара модель: Компанії з великою кількістю філій історично покладалися на приватні виділені лінії (T1/T3), а пізніше на MPLS (Multi-Protocol Label Switching) для з’єднання філії A з філією B через приватні, незашифровані мережі.
• Оновлення SD-WAN: Програмно-визначені широкомасштабні мережі (SD-WAN) дозволяють філіям обмінюватися даними через будь-яку транспортну мережу (інтернет, приватні лінії тощо), одночасно централізовано визначаючи, як маршрутизується трафік. Це більш гнучко, і можна використовувати шифрування та маршрутизацію на основі політик.

Оскільки SD-WAN часто розташовується на периферії критичної інфраструктури, такої як водо- та енергопостачальні підприємства, безпека її контролерів і площин керування має вирішальне значення. Саме на це й націлився UAT-8616.

Хто такий UAT-8616 / Salt Typhoon?

Ед базує свою розповідь на публічних звітах Cisco Talos про китайського зловмисника:

• UAT-8616, також відомий як Salt Typhoon, використовує вразливості нульового дня в периферійних пристроях і мережевих пристроях.
• Їхні цілі включають критичні сектори інфраструктури в США та в усьому світі, особливо операційні технології (OT), такі як:
  • Водоканали
  • Енергетичні компанії
  • Інші промислові та інфраструктурні мережі

У цій кампанії вони використали слабкі місця в системах Cisco Catalyst SD-WAN, щоб отримати глибокий і постійний доступ до корпоративних мереж.

Крок 1: Імітація філії через SD-WAN Peering

Контролери SD-WAN керують багатьма філіями. Коли підключається нова філія, вона повинна встановити з’єднання з контролером і підтвердити, що вона належить до організації. Зазвичай для цього використовується:

• Обмін публічними/приватними ключами або
• Попередньо узгоджені симетричні ключі

Ідея полягає в тому, що нова філія заявляє: «Я є частиною компанії; ось доказ», і контролер приймає її в площину керування/контролю.

Згідно зі звітом Cisco Talos, на який посилається Ед:

• UAT-8616 використав вразливість у механізмі SD-WAN Peering.
• Деталі не є публічними — немає демонстрації концепції, і точна криптографічна або протокольна помилка невідома.

Відомо з опису Talos, як зазначено у відео:

• Зловмисники змогли створити фіктивну філію в мережі SD-WAN.
• Цей фіктивний вузол виглядав як будь-яка інша легітимна філія на карті мережі.
• Звідти вони могли:
  • Оголошувати IP-маршрути
  • Відправляти та отримувати мережевий трафік
  • Підключатися до площини керування/контролю з обмеженими привілеями

Таким чином, першим успіхом для зловмисників стало те, що вони тихо стали ще однією філією — з достатнім доступом, щоб дістатися до контролерів, але ще не до рівня адміністратора.

Крок 2: Зниження версії прошивки для відновлення старої CVE

Опинившись у мережі SD-WAN як учасник з низькими привілеями, UAT-8616 перейшов до підвищення привілеїв. Ед виділяє особливо винахідливу частину: вони здійснили атаку зі зниження версії прошивки.

Навіщо знижувати версію?

• Програмне забезпечення (теоретично) з часом стає більш безпечним, оскільки виявляються та виправляються вразливості.
• У старіших версіях прошивки часто все ще містяться відомі, задокументовані помилки — наприклад, CVE попередніх років.

У цьому випадку Ед звертає увагу на:

• CVE-2022-20755 — вразливість в CLI (інтерфейсі командного рядка) програмного забезпечення Cisco SD-WAN.
  • Доступний лише для аутентифікованого локального користувача.
  • Дозволяє підвищення привілеїв до адміністратора.

Згідно з розповіддю:

1. Зловмисники, діючи як фіктивна філія, отримали доступ до площини керування з низькими привілеями.
2. Вони знизили версію цільових систем SD-WAN (vCenters / контролерів) до версії прошивки, яка все ще містила CVE-2022-20755.
3. Завдяки цій старішій версії вони могли активувати стару помилку, щоб підвищити привілеї до рівня адміністратора.

Ед зазначає, що це типова причина, чому багато постачальників намагаються блокувати зниження версії прошивки:

• Якщо зловмисник вже має певний доступ, можливість повернутися до вразливого коду фактично надає йому старішу, слабшу базу безпеки для використання.

Крок 3: Обхід шляху та зловживання Vshell для отримання прав адміністратора

Щоб пояснити шлях підвищення привілеїв, Ед розглядає приклад класичної вразливості обходу шляху, а потім пов’язує її з тим, як працювала помилка Cisco.

Що таке обхід шляху?

Він наводить спрощений сценарій:

• Веб-інструмент приймає шлях, наданий користувачем, і відображає файл із /var/www/uploads/<user_path>.
• Якщо код не перевіряє вхідні дані, користувач може надати ../ замість шляху.
• Це дозволяє користувачу отримати доступ до файлів за межами передбаченої директорії.

Зловживання Vshell

У випадку з атакою на SD-WAN, зловмисники використали вразливість обходу шляху в Vshell, щоб отримати доступ до конфіденційних даних і, зрештою, виконати команди з правами адміністратора.

Підсумки

В цьому епізоді Low Level TV Ед Вудрафф розглядає складну реальну атаку на системи Cisco SD-WAN з боку зловмисника UAT-8616 (Salt Typhoon). Кампанія поєднувала:

• Помилку з’єднання/аутентифікації, яка дозволила зловмисникам створити фіктивну філію в мережі SD-WAN компанії.
• Зниження версії прошивки, щоб відновити CVE-2022-20755, відому помилку підвищення привілеїв CLI.
• Обхід шляху у Vshell, щоб отримати секрет IPC і, зрештою, виконати команди як адміністратор.

В результаті, низький рівень доступу у вигляді фіктивної філії було перетворено на повний контроль над контролерами SD-WAN, що може вплинути на кожну філію цільової організації.

Основні висновки Еда полягають у тому, щоб підтримувати оновлення прошивки SD-WAN, стежити за несподіваними з’єднаннями та сфабрикованими іменами користувачів і усвідомлювати, що, хоча безпечніші мови, такі як Rust, допомагають із безпекою пам’яті, вони не вирішують криптографічні або логічні помилки в дизайні. Ланцюжок атак, який він описує, показує, як шаруваті слабкі місця — з’єднання, можливість зниження версії та помилки CLI — можуть об’єднатися в одну з найскладніших практичних атак, які коли-небудь були здійснені проти широкомасштабної мережевої інфраструктури.