Как я уронил ядро мобильной сети 4G одним пакетом: анатомия Zero‑click уязвимости в Open5GS

В сфере искусственного интеллекта произошло заметное событие. mstr0j 6 минут назад Как я уронил ядро мобильной сети 4G одним пакетом: анатомия Zero‑click уязвимости в Open5GS Сложный 6 мин 206 Информационная безопасность * Сетевые технологии * Беспроводные технологии * Реверс-инжиниринг * IT-инфраструктура * Кейс Из песочницы Привет, Хабр! Мир безопасности телекома для многих IT‑специалистов кажется закрытым клубом, спрятанным за проприетарными вендорами, дорогим оборудованием и тысячами страниц спецификаций 3GPP. Но порой, чтобы положить ядро мобильной сети целого региона не нужна квантовая физика, а достаточно базового понимания бинарных протоколов и одного вырезанного байтика.

В этой статье я расскажу, как я исследовал уязвимости в популярном open‑source ядре мобильной связи Open5GS и почему слепая вера в стандарты ломает код. Мы напишем изящный эксплойт, жонглируя битами в кодировке ASN. 1 APERДыры в логике ядраПолтора года назад ИБ‑сообщество всколыхнуло исследование RANsacked, в котором исследователи из Университета Флориды и Университета штата Северная Каролина профаззили популярные ядра мобильных сетей и выявили 119 уязвимостей.

Технические детали

На тот момент мне еще не доводилось погружаться в тему так глубоко, но ведь всяко лучше поздно, чем никогда, не так ли? Так вот, меня заинтересовал вектор в 4G части ядра — компоненте MME (Mobility Management Entity). Уязвимость CVE-2023-37017 (VULN‑F16).

Прелесть ее в том, что нам вообще не нужно эмулировать абонента или SIM‑карту. Ядро будет атаковано от лица базовой станции и упадет от первого же приветственного пакета. 1 — Базовая архитектура ядра 4G.

Наша цель — компонент MME, отвечающий за управление сигнальным трафиком и подключение базовых станций. Анатомия ошибкиРазберем, почему вообще это возможно. В сетях LTE базовые станции общаются с ядром по протоколу S1AP.

Отраслевые последствия

Когда вышка включается, она отправляет пакет S1SetupRequest. По строгим стандартам 3GPP в этом пакете обязательно должен присутствовать информационный элемент с уникальным идентификатором вышки — Global-ENB-ID. Давайте посмотрим, как разработчики Open5GS (версии <= 2.

4) обрабатывают этот пакет в исходном коде:void s1ap_handle_s1_setup_request(mme_enb_t *enb, ogs_s1ap_message_t *message) { // ... ogs_debug("S1SetupRequest for (i = 0; i < S1SetupRequest->protocolIEs. count; i++) { ie = S1SetupRequest->protocolIEs.

array; switch (ie->id) { case S1AP_ProtocolIE_ID_id_Global_ENB_ID: Global_ENB_ID = &ie->value. Global_ENB_ID; break; case S1AP_ProtocolIE_ID_id_SupportedTAs: SupportedTAs = &ie->value. SupportedTAs; break; case S1AP_ProtocolIE_ID_id_DefaultPagingDRX: PagingDRX = &ie->value.

Событие, по словам экспертов, усилит конкуренцию в сфере ИИ.