Jak przejąć sieć operatora telekomunikacyjnego oraz dane jego klientów poprzez upload favicona?

Niedawno wykryto kampanię hackerską celującą w amerykańskich dostawców sieci (zainfekowano w ten sposób minimum czterech ISP).

W tym celu wykorzystano podatność w rozwiązaniu SD-WAN firmy Versa Networks. Podatność występuje w mechanizmie uploadu favicona w aplikacji webowej. Ale zamiast favicona można zuploadować webshella w Javie…

Upload favicona wymaga jednak posiadania dostępu admina. Ale admina najpewniej udało się zdobyć w inny sposób – tj. uzyskując z poziomu Internetu dostęp do portu 4566 (odpowiadającego za koordynację funkcji HA całego rozwiązania – wysoka dostępność). Prawdopodobnie w tym miejscu występowała kolejna luka.

Sam webshell głównie miał za zadanie wykradać dane uwierzytelniające klientów korzystających z SD-WAN. Jako ciekawostkę dodam jeszcze, że ataki na SD-WAN było przeprowadzone z przejętych routerków klasy SOHO (utrudnienie wyśledzenia atakujących). Tego typu taktyka stosowana jest coraz częściej.

Jako atakujących wskazuje się Chiny, a sam atak był niewykryty przez około 1.5 miesiąca…

~ms