Az SD-WAN sebezhetőség komoly áttörést nyújt a támadóknak
Ez a biztonsági rés abból fakad, hogy az érintett rendszerekben hibásan működik az úgynevezett peering hitelesítési mechanizmus. Egy sikeres támadással a támadó belső, magas jogosultságú, nem root jogosultságú felhasználói fiókkal léphet be a vezérlőfelületre, ahonnan eléri a NETCONF felületet is, így manipulálhatja a hálózat beállításait. Amennyiben egy támadó rogue peer eszközt, azaz rosszindulatú eszközt képes hozzáadni a rendszerhez, az rejtve, legitim hálózati csomópontként működhet tovább, sőt, titkosított kapcsolatokat létesíthet, és újabb belső hálózatokat tehet elérhetővé a támadók számára.
Nem egyértelmű, de lehetséges, hogy a támadók ennél is tovább tudtak lépni. Bizonyos támadók régebbi szoftververzióra álltak vissza, aztán egy korábbi sérülékenységet (CVE-2022-20775) kihasználva root jogosultságokat szereztek, majd visszaállították a rendszert az eredeti verzióra, ezzel kijátszva az esetleges felügyeleti ellenőrzéseket.
Gyors intézkedéseket sürgetnek világszerte
Február 25-én az amerikai kiberbiztonsági hatóság (CISA) sürgősségi direktívát adott ki, kötelezővé téve a szövetségi hivatalok számára a Cisco SD-WAN rendszerek átvizsgálását, naplógyűjtést, a naplók külső tárolását, azonnali frissítéseket és minden gyanús tevékenység kivizsgálását. Minden érintett hálózati eszközt 2026. február 27-ig kötelező frissíteni. A CISA és a brit NCSC közös útmutatót adott ki, amely szerint a támadók világszerte próbálnak rogue peer eszközöket telepíteni, ezzel tartós jelenlétet és root hozzáférést szerezni a hálózatokon.
A szakértők hangsúlyozzák: az SD-WAN menedzsmentfelületeit tilos az internet felé megnyitni, a rendszereket azonnal frissíteni és megerősíteni kell, tűzfal mögé helyezve, és minden naplót külső rendszerben tárolva.
Így azonosíthatók a támadások nyomai
Fontos lehet a /var/log/auth.log naplófájl ellenőrzése, különösen annak vizsgálata, történt-e bejelentkezés vmanage-admin néven ismeretlen IP-címről. Különösen említést érdemel, hogy ha gyanús, nem szokványos rendszercímről történt sikeres belépés, azonnal kompromittáltként kell kezelni az adott eszközt. Egyéb lehetséges árulkodó jelek: új, váratlanul létrehozott vagy törölt felhasználói fiókok, a root felhasználó ismételt vagy váratlan bejelentkezései, ismeretlen SSH-kulcsok, illetve a PermitRootLogin bekapcsolása.
Továbbá célszerű megvizsgálni, nincsenek-e hiányzó vagy szokatlanul kicsi naplófájlok, mert ezek a naplók manipulálására utalhatnak. A szoftver visszaállítása egy korábbi verzióra és váratlan újraindítások szintén figyelmeztető jelek.
Mit kell most tenni?
Az egyetlen teljes megoldás, ha minden érintett rendszert azonnal a Cisco által kiadott frissített verzióra emelnek. Ha a root fiók kompromittálódott, újratelepítés válik szükségessé – nem elegendő a tisztítás. Elengedhetetlen a hálózati kitettség minimalizálása: minden hozzáférést zárt környezetbe kell terelni, a naplókat külső rendszeren tárolni, és kizárólag a Cisco hivatalos útmutatását követni az erősítéshez.
Az SD-WAN rendszerek megfelelő védelme kulcskérdéssé vált minden nagyobb szervezet számára.
