Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Jak przejąć sieć operatora telekomunikacyjnego oraz dane jego klientów poprzez upload favicona?

28 sierpnia 2024, 10:01 | W biegu | 0 komentarzy

Niedawno wykryto kampanię hackerską celującą w amerykańskich dostawców sieci (zainfekowano w ten sposób minimum czterech ISP).

W tym celu wykorzystano podatność w rozwiązaniu SD-WAN firmy Versa Networks. Podatność występuje w mechanizmie uploadu favicona w aplikacji webowej. Ale zamiast favicona można zuploadować webshella w Javie…

Pełen schemat ataku

Upload favicona wymaga jednak posiadania dostępu admina. Ale admina najpewniej udało się zdobyć w inny sposób – tj. uzyskując z poziomu Internetu dostęp do portu 4566 (odpowiadającego za koordynację funkcji HA całego rozwiązania – wysoka dostępność). Prawdopodobnie w tym miejscu występowała kolejna luka.

Sam webshell głównie miał za zadanie wykradać dane uwierzytelniające klientów korzystających z SD-WAN. Jako ciekawostkę dodam jeszcze, że ataki na SD-WAN było przeprowadzone z przejętych routerków klasy SOHO (utrudnienie wyśledzenia atakujących). Tego typu taktyka stosowana jest coraz częściej.

Jako atakujących wskazuje się Chiny, a sam atak był niewykryty przez około 1.5 miesiąca…

~ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

Odpowiedz