Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Jak przejąć sieć operatora telekomunikacyjnego oraz dane jego klientów poprzez upload favicona?
Niedawno wykryto kampanię hackerską celującą w amerykańskich dostawców sieci (zainfekowano w ten sposób minimum czterech ISP).
W tym celu wykorzystano podatność w rozwiązaniu SD-WAN firmy Versa Networks. Podatność występuje w mechanizmie uploadu favicona w aplikacji webowej. Ale zamiast favicona można zuploadować webshella w Javie…
Upload favicona wymaga jednak posiadania dostępu admina. Ale admina najpewniej udało się zdobyć w inny sposób – tj. uzyskując z poziomu Internetu dostęp do portu 4566 (odpowiadającego za koordynację funkcji HA całego rozwiązania – wysoka dostępność). Prawdopodobnie w tym miejscu występowała kolejna luka.
Sam webshell głównie miał za zadanie wykradać dane uwierzytelniające klientów korzystających z SD-WAN. Jako ciekawostkę dodam jeszcze, że ataki na SD-WAN było przeprowadzone z przejętych routerków klasy SOHO (utrudnienie wyśledzenia atakujących). Tego typu taktyka stosowana jest coraz częściej.
Jako atakujących wskazuje się Chiny, a sam atak był niewykryty przez około 1.5 miesiąca…
~ms