深入研究数据包反射漏洞 ， 允许攻击者攻击私有 5G 网络

外面看 数据包反射漏洞如何允许攻击者渗透内部5G网络 SalimS.I. CTOne 贡献来自 Contents Surface07 向量08 枚举11 Response13 由发布 趋势科技研究 作者： SalimS.I. CTOne MicrosoftAzure上的无服务器安全状态 共17页第2页 以一个制造工厂为例，数百个物联网(IoT)设备通过私有5G网络连接到后端。这些设备位于私有IP子网中，无法从外部网络访问。5G核心在云中，后端服务器也是如此。这些IoT设备访问有限或没有互联网。 由于这些设备在隔离的环境中运行，修补和其他安全措施可能达不到标准。可能有一个开放端口监听来自后端服务器的命令 ，或者嵌入式Web服务器中可能存在远程代码执行(RCE)漏洞。但是，鉴于它们在隔离、NAT和防火墙的私有环境中运行 ，攻击者如何才能到达它们？ 基站与5G核心的用户平面功能(UPF)之间的GTP-U缺乏加密和认证机制。尽管GSM协会(GSMA)建议在GTP隧道上进行互联网协议安全(IPSec)加密,但由于其对延迟和吞吐量的影响,这并不经常被强制执行。在这项研究中，我们能够利用GTP-U从外部网络攻击连接的设备，利用5G核心UPFs中的数据包反射漏洞。这种安全漏洞是由于在分组核心中的控制和数据平面之间缺乏IP交叉检查而产生的。防火墙和访问控制列表(ACL)可以减少攻击面，但这些需要频繁的手动重新配置。 本文中详细介绍的漏洞已报告给ZDI（ZDI），并分配了ZDI-CAN-18522的ID。该漏洞的严重程度很高，因为它在通用漏洞评分系统（CVSS）上的得分为8.3。 这项研究是通过趋势科技作为研究所有者的合作努力完成的；电信技术中心(TTC)，1台湾国家通信委员会和数字事务部的官方咨询小组；以及趋势科技的通信技术（CT）子公司CTOne。2作为网络安全领导者，CTOne专注于为企业推进5G网络安全，与技术顾问和环境提供商TTC一起担任此次合作的研究员。 企业5G拓扑 私有企业5G可能部署在不同的拓扑结构中。大多数拓扑结构在边缘或本地都有本地突破(LBO)，这将本地流量保持在公司网络内部： 1.5G核心位于公共云中，LBO位于边缘 2.5G核心位于运营商的前提下，具有本地LBO 3.5G核心位于私有云或多接入边缘(MEC)计算中，并具有位于同一位置的LBO 来自5G用户设备(UE)的数据流量通过基站和5G核心之间的GTP隧道传输。 控制平面 底座站 TIED5-6 TIED3-4 TIED1-2 (5GC-CP) 外部网络 数据平面/用户平面 (5GC-UP) 非IPIPIP 图1.各种5G用户设备的GTP隧道 GTP隧道是5G核心和基站之间的未加密的用户数据报协议(UDP)隧道，每个UE必须有至少一个GTP隧道来发送或接收流量。为了简单起见，我们认为每个UE在基站和5G核心之间分配了两个GTP隧道：一个用于上行数据包，一个用于下行数据包。该UE的所有会话都将通过这些隧道。 5Gcore-UP通过32位隧道端点标识符(TEID)来标识特定隧道。对于UE来说，上行链路有一个TEID，下行链路有另一个TEID。GTP分组是通过在原始分组上附加GTP报头来形成的。TEID是GTP报头的一部分。TEID在控制信道协商期间分配。 Insummary: •隧道位于基站和5G核心（GTP节点）之间 •UE流量封装在隧道内 •GTP隧道未加密 •GTP基于UDP •基于TEID的GTP节点区分不同隧道 基站-UPF端口:2152TEIDUE数据包 Internet协议版本4，Src：192.168.56.121，DST：192.168.56.120用户数据报协议，Src端口：2152，Dst端口：2152GPRS隧道协议 标志：0x34 -无加密 消息类型：T-PDU(0xff)长度：92 -无身份验证 TEID:0x00000002(2)下一个扩展标头类型:PDU会话容器(0x85)扩展标头(PDU会话 -TEIDmuxed隧道 容器) 有效载荷 Proto IP GTP标头 UDP标头 IP-标头 Internet协议版本4,Src:10.45.0.2,Dst:8.8.8.8Internet控制消息协议 图2.GTP隧道的报头信息 隧道的一个特征是内部数据包可以在子网间未经修改的情况下传递，即不受路由规则、反向路径过滤或网络地址转换(NAT)的影响。将其与GTP节点对TEID 的依赖相结合来路由GTP隧道,并且我们发现潜在的问题:如果TEID有效,则可以处理从任何地方到达5G核心UP的GTP分组并且将其内部分组递送到UE。 考虑图3中的拓扑。控制平面IP(CPIP)、用户平面IP(UPIP)和基站IP(BSIP)在5G核心管理子网中，而UE在UE子网中。UE子网和管理子网是不同的且隔离的。在私有5G环境中，UE子网很可能是私有子网。 CP CPIP NGAP BSIP GTP-U UPIP UP UEIP Internet 攻击者IP 图3.5G环境的示例拓扑 攻击面 回到最初的问题，攻击者如何到达在隔离、NAT、防火墙私有环境中运行的5G物联网设备？一个入口点是5G核心接口本身，它暴露在云中。由于具有私有地址的攻击包可以在GTP包中隧道传输，因此攻击者可以制作GTP包并将其发送到UPIP。 防火墙 5GC AMF 外部网络 UPF Intranet 隔离私有子网 MEC all Firew IT网络 OA网络 图4.在线攻击者可以通过工厂公开的UPF接口访问专用网络 由于某些拓扑的性质，UPF接口通常暴露于外部访问。即使在互联网服务提供商(ISP)和运营商等电信环境中，这些接口也经常暴露于互联网，详见附录。 攻击向量 下行链路数据包 在图5中，我们说明了一种可能的攻击，其中： •攻击者创建一个数据包，目标为UEIP，来源为互联网IP，将其封装在GTP数据包中，并将其发送到UPF（箭头1）。 •UPF查找TEID,转发到基站,基站解封装内部分组并将其转发到对应的UE(箭头2、3)。 •UE回复源IP,即互联网(箭头4、5、6)。 NGAP CPIP CP UEIP Internet BSIP GTP- UPFIP UP 攻击者IP 图5.攻击者与UE建立下行链路连接的网络攻击 InternetIP很可能是攻击者自己的IP，因此与UE建立了双向连接（图6）。在这种情况下，对于攻击者而言，传出数据包是GTP，而传入数据包不是GTP 。 NGAP CPIP CP UEIP BSIP GTP- UPFIP UP 攻击者IP 图6.攻击者与用户设备建立双向连接，其中传出数据包是GTP，而传入数据包不是 上行数据包 如图7所示，网络犯罪分子发动攻击的另一种方式是： •攻击者创建以UEIP作为源、互联网IP作为目的地的数据包,将其封装在GTP数据包中,并将其发送到UPF(箭头1)。 •UPF查找TEID,解封内部数据包,并且将其转发到互联网IP(箭头2)。 •互联网服务器回复UE,并通过5G网络将其传递给UE(箭头3、4、5)。 NGAP CPIP CP UEIP BSIP Internet GTP- UP UPFIP 攻击者IP 图7.攻击者代表UE建立上行链路连接的网络攻击 TEID枚举 对于这些攻击，必须使用与目标IP关联的TEID。TEID可以是强制性的：TEID是32位长，应该是随机的；然而，在实践中，一些供应商表现出对某些范围的亲和力，这可以在智能猜测中利用。攻击者可以向目标IP发送多个pig，GTP数据包中包含多个不同的TEID。当TEID和IP匹配时，攻击者将收到pig响应 。 NGAP CPIP CP UEIP BSIP GTP- UPFIP UP 攻击者IP 图8.攻击者向GTP数据包中具有不同TEID的目标IP发送多个ping 根本原因 理想情况下，UPF应该验证数据包来自受信任的对等体。但是，第三代合作伙伴计划（3GPP）标准不执行此验证。因此，许多供应商也没有构建验证机制。我们对来自四个供应商的5G内核进行了测试：两个开源供应商和两个商业供应商，所有这些供应商都发现易受攻击。 GSMA建议的保护GTP的补救措施是在基站和5G核心之间使用IPsec。但是，由于涉及延迟，吞吐量，CPU和内存等资源以及其他货币成本的成本，特别是在扩展方面，IPsec很少在实际部署中使用。 披露和回应 容易受到这种攻击的设备之一是用于部署专用无线网络的企业数据包核心。通过ZDI，该漏洞已报告给设备的供应商，该供应商建议受影响的用户使用防火墙和非军事区(DMZ)来保护其5G内核。从我们的角度来看，这必须被视为5G核心中的漏洞：如果Web服务器或网关被报告具有此类漏洞，则防止攻击数据包到达Web服务器或网关将不是可接受的补救措施。 结论和建议 总之，来自互联网上任何地方的攻击者都可以使用此漏洞访问专用网络，如前面的图4所示。GTP-U隧道将专用子网暴露于外部网络访问，这将使外部网络上的攻击者能够在蜂窝网络上的设备中站稳脚跟。多个商用5G内核易于攻击。 此漏洞应被视为允许攻击者进入内部网络并利用该网络的连接设备中的任何漏洞的门。考虑到工厂车间设备通常位于隔离和私有网络中-因此可能并不总是最新的安全补丁-这可能会以各种方式影响制造商和其他类型的企业：它使他们的运营面临勒索软件攻击的风险，敏感数据的泄露、拒绝服务(DoS)攻击造成的数小时中断以及可能导致产品质量差的隐形代理。 企业可以通过以下安全措施来加强针对此漏洞的防御： 1.IPsec或其他安全隧道机制可以防止大多数人在一边(MoTS)攻击，如果它的各种加密成本是可接受的组织。 2.由于大多数供应商的5G内核没有内置的交叉检查IP的机制，因此具有此功能的外部安全设备将有助于在不影响性能的情况下减少攻击面。 CTOne是通信技术领域的全球网络安全领导者，为下一代无线网络提供企业网络安全解决方案。CTOne是趋势科技的子公司，可实现数字化转型并增强通信技术的弹性。 多层安全解决方案，如TrendVisionOne™、3一个网络安全平台，可以帮助企业保护他们的基础设施。TredVisioOe为企业提供了其攻击面的整体视图，以及适应ICS和5G的简化检测和响应。它评估他们的风险敞口，并自动部署控制措施以减轻这些风险，从而产生更少、更高保真度的警报，从而使安全团队能够从事具有战略意义的重要任务。 随着越来越多的公司采用私有5G网络以其低延迟、大带宽和高密度功能，他们将需要保护其工厂环境免受潜在的网络攻击。为此，趋势科技的ICS/OTSecurity4提供基于ZDI、TXOneNetworks和TrendMicroResearch提供的详尽威胁情报和专业知识构建的解决方案。其IT、OT和CT集成解决方案套件可实现早期威胁检测和响应，同时降低监控复杂性，使制造商能够更好地保护其工业IT生态系统。 Appendix 图9.暴露UPF接口的主要国家 图10.公开UPF接口的台湾顶级城市 1电信技术中心。(n.d.)。电信技术中心。“关于TTC。”2023年4月17日访问，在Link。 2 3 CTOne。(n.d.)。CTOne。“关于CTOne。”2023年4月17日，在Link。 趋势科技。“TrendVisionOne™”。于2023年7月6日在Link上访问。 4趋势科技。(n.d.)。趋势科技。“ICS/OT安全”。于2023年4月17日访问，链接。 尾注 有关更多信息，请访问trendmicro.com ©2023由趋势科技公司提供。保留所有权利。趋势科技和趋势科技t-ball徽标、防毒墙网络版和趋势科技控制管理中心是趋势科技公司的商标或注册商标。所有其他公司和/或产品名称可能是其所有者的商标或注册商标。本文档