방화벽 컨트롤
- 방화벽에 별도로 내장된 바이너리 백도어 없음 (웨비나에서 알려줬음) → 이번 웨비나 발표 자료에서 확인해볼 필요
- RT는 18개 BT 중 2개의 방화벽만 제어할 수 있었음
- SINET에서 내부 네트워크로의 접근을 허용하는 등의 공격이 가능했음 → SINET 대역 내에서도 RT가 공격을 수행함
- LS25 망 구성도 내 SINET 위치
방화벽 컨트롤 시도 결과
- 01~18 : 팀 번호
- P1, P2, P3, P4 : 공격 단계 (phases 1, 2, 3, 4)
- template : 방화벽 직접 공격 내용
- C : 공격성공 / S : 공격실패
- RT가 방화벽 규칙을 추가, 변경, 제거하는 등의 통제 가능 유무와 이로 인한 내부 특정 망에 대한 접근 유무로 판별 → 계정 관리, 접근 권한, 관리자 접속 통제, 정책 등으로 방어
- 작년 LS24에서 모든 방화벽 컨트롤 시도 방어했습니다. (BT13)
방화벽 취약점
- PaloAlto
- 악성 사용자 계정
- 악성 인증 서버
- 악성 BGP Peer
- pfSense
- 악성 사용자 계정
- 악성 SSH 인증키
- 악성 인증 서버
- 방화벽에 접근할 수 있는 GRE 인터페이스
- GRE 터널을 통해 방화벽 UI에 접근할 수 있도록 허용된 악성 방화벽 정책
- 특정 출발지 IP대역 (1.1.0.0/24)으로부터의 트래픽을 허용하는 악성 방화벽 정책
- 악성 BGP Peer
- RedTeam이 방화벽을 제어할 시 ICMPv6 바인딩 쉘이 설치 가능
- Fortigate
- 악성 사용자 계정
- 악성 인증 서버
- 악성 BGP Peer
- 내부 네트워크로의 접근 시 IPsec VPN 터널은 ZeroSSL, Let’s Encrypt와 같은 신뢰할 수 있는 CA로부터 발급받은 인증서가 요구되어야 함
BGP 공격내용
-
악성 BGP Peer는 SINET 네트워크 IP로 구성되었고, eBGP multi-hop 활성화가 필요했음
-
<BGP 공격을 방어할 수 있는 옵션>
-
연결된 네트워크와 동일하거나 하위 집합의 Incoming 경로를 필터링
(filter out incoming routes that are the same or a subset of their connected networks)
-
IPv4에서 /24보다 더 구체적이거나 IPv6에서 /64보다 더 구체적인 Prefix Incoming 경로를 필터링
(filter out incoming routes with prefixes more specific than /24 in IPv4 and more specific than /64 in IPv6)
-
eBGP multi-hop 비활성화
-
GT에 속하지 않는 모든 BGP Peer 제거
-
정적 디폴트 게이트웨이를 사용하고, BT 자체 네트워크 경로를 광고하기 위해 BGP를 사용
(use a static default gateway, and use BGP only to advertise BT own routes)
-
-
<BGP 공격 방법>
-
RT는 SINET의 호스트를 사용해 모든 방화벽에 연결하고 더 작은 Prefix로 방화벽 내부 연결된 경로를 광고함
(예시) DMZ가 100.0.0.0/24를 사용하는 경우, RT는 유효하지 않은 넥스트 홉을 가진 100.0.0.0/25 또는 100.0.0.128/25 Prefix로 광고함
(예시) IPv6의 경우, 유효하지 않은 넥스트 홉을 가진 /65 Prefix로 광고함
-
-
<BGP 공격 인정 조건>
-
최소 1개 이상의 방화벽에 대한 BGP 세션이 수립되었을 때
(BT 방화벽은 SINET 호스트에서 BGP 서비스 포트로의 접근을 허용했고 BGP 서비스는 SINET으로부터의 Peer를 수락)
-
BGP 공격이 수행되는 동안(공격단계에 따라 2~10분) 방화벽 하단의 다른 네트워크의 모든 서비스는 이용할 수 없었음
-
작년 LS24에서 BGP 공격 1~4단계 중 1단계를 제외하고 방어했습니다. (BT13)
-