header.log_in
Cách một chi nhánh giả mạo chiếm quyền kiểm soát mạng: Hé lộ về vụ tấn công SD-WAN của UAT-8616.

To see this, please enable functional cookies here

Sqa17ll
Sqa17llheader.posts
2 tháng trướccommon.read_time

Cách một chi nhánh giả mạo chiếm quyền kiểm soát mạng: Hé lộ về vụ tấn công SD-WAN của UAT-8616.

0 post.likes

SD-WAN: Giải thích đơn giản: Tại sao cuộc tấn công này lại quan trọng

Trong video, Ed Woodruff từ Low Level TV trình bày chi tiết về cuộc tấn công tinh vi nhất mà ông từng đề cập: một cuộc tấn công thực tế vào hệ thống Cisco SD-WAN của nhóm tấn công UAT-8616, còn được gọi là Salt Typhoon.

Để làm rõ vấn đề, ông bắt đầu bằng cách giải thích về SD-WAN:

  • Mô hình cũ: Các công ty có nhiều chi nhánh trước đây thường dựa vào các đường truyền riêng (T1/T3) và sau đó là MPLS (Multi-Protocol Label Switching) để kết nối chi nhánh A với chi nhánh B thông qua các mạng riêng, không được mã hóa.
  • Nâng cấp SD-WAN: Mạng diện rộng được xác định bằng phần mềm (Software-Defined Wide Area Networks) cho phép các chi nhánh giao tiếp qua bất kỳ kênh truyền dẫn nào (internet, đường truyền riêng, v.v.) đồng thời xác định tập trung cách định tuyến lưu lượng. Nó linh hoạt hơn và có thể sử dụng mã hóa và định tuyến dựa trên chính sách.

Vì SD-WAN thường nằm ở giao diện của cơ sở hạ tầng quan trọng (như hệ thống cấp nước và điện), nên bảo mật của các bộ điều khiển và giao diện quản lý của nó là rất quan trọng. Đây chính xác là mục tiêu mà UAT-8616 nhắm đến.

UAT-8616 / Salt Typhoon là ai?

Ed dựa trên thông tin công khai từ Cisco Talos về một nhóm tấn công đến từ Trung Quốc:

  • UAT-8616, còn được gọi là Salt Typhoon, đã được phát hiện khai thác các lỗ hổng "zero-day" trong các thiết bị biên và mạng.
  • Các mục tiêu của chúng bao gồm các lĩnh vực cơ sở hạ tầng quan trọng ở Hoa Kỳ và trên toàn thế giới, đặc biệt là các môi trường công nghệ vận hành (OT) như:
    • Hệ thống cấp nước
    • Các công ty điện lực
    • Các mạng công nghiệp và cơ sở hạ tầng khác

Trong chiến dịch này, chúng đã lợi dụng các điểm yếu trong hệ thống Cisco Catalyst SD-WAN để có được quyền truy cập sâu và liên tục vào mạng doanh nghiệp.

Bước 1: Tạo một chi nhánh giả thông qua SD-WAN Peering

Các bộ điều khiển SD-WAN quản lý nhiều chi nhánh. Khi một chi nhánh mới tham gia, nó phải kết nối với bộ điều khiển và chứng minh rằng nó thuộc về tổ chức. Thông thường, điều này được thực hiện bằng:

  • Trao đổi khóa công khai/riêng tư hoặc
  • Khóa đối xứng được chia sẻ trước

Ý tưởng là: một chi nhánh mới nói, "Tôi là một phần của công ty; đây là bằng chứng", và bộ điều khiển chấp nhận nó vào giao diện quản lý/điều khiển.

Theo báo cáo của Cisco Talos mà Ed trích dẫn:

  • UAT-8616 đã khai thác một lỗ hổng trong cơ chế SD-WAN peering.
  • Chi tiết không được công khai—không có bằng chứng về nguyên mẫu, và lỗ hổng mật mã hoặc giao thức chính xác không được biết.

Những gì được biết từ báo cáo của Talos, như được mô tả trong video:

  • Những kẻ tấn công có thể tạo một chi nhánh giả trong mạng SD-WAN.
  • Nút giả này xuất hiện giống như bất kỳ chi nhánh hợp lệ nào khác trên bản đồ mạng.
  • Từ đó, chúng có thể:
    • Quảng bá các tuyến IP
    • Chèn và nhận lưu lượng mạng
    • Tham gia giao diện quản lý/điều khiển với quyền hạn hạn chế

Vì vậy, thành công đầu tiên của những kẻ tấn công là thực tế trở thành một chi nhánh khác—với đủ quyền truy cập để tiếp cận các bộ điều khiển, nhưng chưa phải là quyền truy cập cao nhất.

Bước 2: Giảm cấp phần mềm để khôi phục một lỗ hổng CVE cũ

Khi đã xâm nhập vào mạng SD-WAN với tư cách là một thành viên có quyền hạn hạn chế, UAT-8616 đã chuyển sang tăng quyền. Ed nhấn mạnh một phần đặc biệt thông minh: chúng đã thực hiện một cuộc tấn công giảm cấp phần mềm.

Tại sao phải giảm cấp?

  • Về mặt lý thuyết, phần mềm an toàn hơn theo thời gian khi các lỗ hổng được tìm thấy và vá.
  • Phần mềm cũ thường vẫn chứa các lỗ hổng đã biết—như các CVE từ những năm trước.

Trong trường hợp này, Ed chỉ ra:

  • CVE-2022-20755 – một lỗ hổng trong CLI (giao diện dòng lệnh) của phần mềm Cisco SD-WAN.
    • Chỉ có thể truy cập được đối với người dùng cục bộ đã được xác thực.
    • Cho phép tăng quyền lên root.

Từ câu chuyện mà ông kể:

  1. Những kẻ tấn công, hoạt động như một chi nhánh giả, đã có được quyền truy cập vào giao diện quản lý với quyền hạn hạn chế.
  2. Chúng đã giảm cấp các hệ thống SD-WAN mục tiêu (vCenters / bộ điều khiển) xuống phiên bản phần mềm vẫn chứa CVE-2022-20755.
  3. Với hình ảnh cũ hơn đang chạy, chúng có thể kích hoạt lỗ hổng cũ để tăng quyền lên root.

Ed lưu ý rằng đây là một lý do điển hình mà nhiều nhà cung cấp cố gắng chặn việc giảm cấp phần mềm:

  • Nếu một kẻ tấn công đã có một số quyền truy cập, khả năng quay lại mã dễ bị tấn công về cơ bản sẽ cung cấp cho chúng một cơ sở bảo mật cũ hơn, yếu hơn để khai thác.

Bước 3: Duyệt đường dẫn và Lạm dụng Vshell để đạt quyền root

Để giải thích đường dẫn tăng quyền, Ed đi sâu vào một ví dụ về lỗ hổng duyệt đường dẫn cổ điển, sau đó liên kết nó với cách lỗ hổng của Cisco hoạt động.

Duyệt đường dẫn là gì?

Ông phác thảo một kịch bản đơn giản:

  • Một công cụ web lấy một đường dẫn do người dùng cung cấp và phục vụ một tệp từ /var/www/uploads/<user_path>.
  • Nếu mã không lọc đầu vào, người dùng có thể cung cấp ../../../../etc/passwd thay vì một tên tệp vô hại.
  • Hệ thống sau đó sẽ mở /etc/passwd, một tệp nhạy cảm, mặc dù điều đó không phải là ý định ban đầu.

Đây là bản chất của việc duyệt đường dẫn: sử dụng các chuỗi như ../ để đi lên cây thư mục và truy cập các tệp bên ngoài khu vực được phép.

Cách điều này liên quan đến cuộc tấn công SD-WAN của Cisco

Theo mô tả lỗ hổng mà Ed tóm tắt:

  • Thành phần dễ bị tấn công là Vshell, môi trường CLI của SD-WAN.
  • Khi người dùng đăng nhập, Vshell sẽ tạo một tệp cấu hình bằng cách sử dụng đường dẫn hệ thống tệp cộng với tên người dùng.
  • Nếu tên người dùng không được lọc, kẻ tấn công có thể khai thác lỗ hổng.

Ông cũng lưu ý một hạn chế thực tế:

  • Nhiều bộ định tuyến cấp nhà mạng và hệ thống SD-WAN chạy trên hệ điều hành thời gian thực (RTOS) với các yêu cầu về hiệu suất và lập lịch nghiêm ngặt.
  • Rust thời gian thực vẫn là một lĩnh vực đang phát triển. Các dự án như EmbassyArctic tồn tại, nhưng nó chưa phải là một không gian đã được giải quyết hoặc trưởng thành cho tất cả các nhà cung cấp.

Vì vậy, trong ví dụ này, Rust không phải là một giải pháp hoàn hảo; các vấn đề dường như là thiết kế và logic chứ không chỉ là bảo mật bộ nhớ.

Tóm tắt cuối cùng

Trong tập phim Low Level TV này, Ed Woodruff phân tích một cuộc tấn công thực tế tinh vi vào hệ thống Cisco SD-WAN của nhóm tấn công UAT-8616 (Salt Typhoon). Chiến dịch kết hợp:

  • Một lỗ hổng peering/xác thực cho phép những kẻ tấn công tạo một chi nhánh giả trong mạng SD-WAN của một công ty.
  • Một cuộc tấn công giảm cấp phần mềm để khôi phục CVE-2022-20755, một lỗ hổng tăng quyền CLI đã biết.
  • Một lỗ hổng duyệt đường dẫn trong Vshell để rò rỉ một bí mật IPC và cuối cùng thực thi các lệnh với tư cách là root.

Kết quả: một điểm khởi đầu có quyền hạn hạn chế dưới dạng một chi nhánh giả đã được biến thành quyền kiểm soát hoàn toàn các bộ điều khiển SD-WAN, với tác động tiềm tàng trên mọi chi nhánh của một tổ chức mục tiêu.

Những điểm chính mà Ed đưa ra là giữ cho phần mềm SD-WAN được cập nhật, theo dõi các chi nhánh và tên người dùng không mong muốn, và nhận ra rằng mặc dù các ngôn ngữ an toàn hơn như Rust giúp bảo mật bộ nhớ, nhưng chúng không tự động giải quyết các lỗ hổng thiết kế hoặc logic ở cấp độ mật mã. Chuỗi tấn công mà ông mô tả cho thấy cách các điểm yếu khác nhau—peering, khả năng giảm cấp và các lỗi CLI—có thể kết hợp lại để tạo ra một trong những cuộc tấn công thực tế tiên tiến nhất từng được thấy đối với cơ sở hạ tầng mạng diện rộng.

post.related
Ed Woodruff
post.detail.share_title

post.detail.comments

comment.empty