BlackHat2022:4G/5G新型前门攻击解读

admin 2023年1月7日16:18:16评论21 views字数 6943阅读23分8秒阅读模式
BlackHat2022:4G/5G新型前门攻击解读


一.  概述

2022年的Black Hat大会上,来自柏林工业大学的Dr. Altaf Shaik和Shinjo Park带来了议题《Attacks from a New Front Door in 4G & 5G mobile networks》,该议题对来自10个商业供应者和运营商共计数百个API进行了安全调查,结果表明这些API都有着不同程度的缺陷,并且或多或少都包含几个OWASP TOP 10严重的API安全威胁。攻击者可以轻松地利用这些API缺陷找到远程命令漏洞或代码执行漏洞,进而影响数十亿4G/5G网络终端设备的正常运行。


二.  背景

API在电子信息行业的兴起注定要改变移动网络在过去的运营方式。最新的移动网络现在向企业客户、服务提供商和应用程序开发商敞开大门,提供对运营商网络内数据和核心网络功能的访问。基于HTTP的RESTful API范例将使得这种访问极其方便,并允许将汽车、医疗保健、工业和许多其他领域与5G移动网络集成。

在过去十几年中,移动网络中发现的攻击可以分为如下几类:

  • 缺少充足的身份认证和安全协议造成的无线接入网络攻击,包括IMSI捕获、伪基站等。

  • 运营商间的绝对信任,造成了SS7和Diameter信令攻击。

  • SIM卡浏览器的漏洞,造成了SIM卡攻击,包括身份认证、模拟操纵等。

  • 垃圾短信邮件

  • 后门(窃听)

  • API泄露(错误的Web应用程序配置)

对于用户来说,经典攻击如信息泄露、未知追踪、短信电话拦截、拒绝服务、欺诈持续存在。


三.  能力开放引发的新型前门攻击

前门(Frond Door),区别于后门,可以理解为开发者为了实现某种能力而所留下必要的入口,在5G领域中,前门是为了获取能力开放所暴露的API。前门攻击指攻击者利用这些前门而发动的攻击,例如在5G领域,前门攻击则是指攻击者利用5G网络中暴露的API进行攻击;在设备制造领域,前门攻击是指劫持原始设备制造厂商的访问机制,对原厂编程方法进行逆向工程的攻击方式。

随着5G和物联网共同快速的发展,5G网络能力开放的新特性使得更多的API被暴露,这一特点经常被用于攻击物联网设备。随着设备和5G应用场景的增多,智慧工厂、智慧家庭、智慧医疗中的物联网设备依靠一张物联网SIM卡就通过基站连接5G核心网,其核心数据通常存储在云端,而这些物联网设备的数据可能通过物联网服务平台所暴露的API暴露。如图1所示,物联网设备通过基站接入核心网,垂直行业、第三方、应用开发者可能在核心网通过API暴露其开放的功能时,受到新型前门攻击。

BlackHat2022:4G/5G新型前门攻击解读

图1  4G/5G网络架构中能力开放可能会成为前门

 

3.1  

网络功能开放的流程

那么,如何才能开放网络功能呢?通过物联网服务平台访问网络开放服务的工作流程如下:

  1. 联系物联网平台的服务提供商请求所需要的服务。

  2. 提供行业/公司的身份信息。

  3. 订阅商业计划(包括NB-IoT/LTE-M SIM卡)。

  4. 收到SIM卡(Mail)和API的接口权限(email)。

  5. 激活SIM卡和API的使用者。

  6. 接入服务的API,并集成到物联网应用程序的功能中。

因此,在商业协议签订后,用户将得到访问权限。比如访问一个物联网连接管理平台,可以通过WEB界面来完成对用户或SIM卡的管理,如激活SIM卡或注销SIM卡。

3.2  

服务平台的攻击模型

一个物联网服务平台通常由以下要素构成:

  • 服务API的端口。

  • 30-100个用于物联网设备的API,如进行连接状态的确认、位置跟踪、信息交换、IP数据更改等。

  • 支持一些应用,例如智慧工厂、虚拟现实、车队跟踪、车辆远程信息技术等。

  • 计费和数据管理、SIM和凭证管理、设备IP地址管理、漫游策略控制等。

  • API访问角色:API管理员,API用户、开发人员。

在此,提一下3GPP标准推荐的基本安全机制,如下:

  • 认证和授权(OAuth 2.0)

  • 保密性和完整性保护(TLS)

  • 隐私

  • 速度限制

  • 登录和模拟

  • GSMA的指导

一个服务平台攻击模型,首先需要与运营商或服务提供商之间存在业务关系,拥有身份认证凭据可以进行认证与授权,进而能够访问服务平台和API服务。攻击模型的目标是能够获取物联网设备平台中任意使用者的数据并进入服务器和核心网。

3.3 

 物联网平台的安全问题及安全分析流程

物联网平台中往往会存在如下的安全问题:

  • 行业的标准安全机制是否充足

  • 针对物联网APP的业务逻辑缺陷测试问题

  • Web/API防火墙安全设计问题

  • 安全扫描器和自动化测试问题

  • 对物联网服务平台可能面临的攻击认知水平有限

在以上的基础上,作者对9个商用的物联网平台的API进行了安全分析,流程如下:

  1. 首先是寻找漏洞,从API配置、输入验证、业务流、身份认证、访问控制、传输层安全等方面寻找。

  2. 选择可能对平台业务和声誉造成很大影响的API,比如可能会造成账单欺诈,Dos,代码执行、设备劫持等后果的API。。

  3. 使用Burp Suite、ZAP和其他常用API测试工具,并依赖OWASP Web安全测试和REST安全表的指南建模一系列的攻击,如插入恶意的负载、字串、字符、文件等。

在进行API的安全分析时,作者还考虑到了以下道德伦理问题:

  1. 只访问或操作自己的用户或管理员账户对应的API数据。

  2. 只分析每个平台关键的API参数(如IMSI、ICCID、APN、关税、充值、MSISDN、SMS)的漏洞,避免流量去往API平台。

  3. GET/POST/PUT操作只会进入自己的账户。

  4. 采取的措施既不破坏平台,也不会中断其他垂直领域或用户正在使用的API服务。

  5. 采用清晰的猜想策略,而不是随机渗透或功能测试。

  6. 不使用DoS等的暴力攻击手段。


四.  物联网平台中的设计风险

本议题从访问控制、身份认证和数据泄露等三个角度分析了物联网平台中的设计风险,主要有以下9个设计风险:

4.1  

伪造访问风险

用户在获取物联网服务平台的过程容易受到社会工程攻击,主要有以下几个方面

  • 攻击者使用伪造公司的身份证明和伪造的电子邮件进行注册,在许多供应商处都可以轻松通过验证。

  • 通过任意的地址收到SIM卡,并访问API服务。

  • 现在攻击者可以访问物联网平台云和托管在其上的数据资源。

  • 攻击者在访问平台时伪装成目标公司/行业。

  • 由于许多平台都没有速率和次数限制,因此可以使用无限的API操作发现漏洞。

  • 缺乏严格的监控和日志记录模块使得攻击者更加猖獗。

针对这种伪造访问的威胁场景,建议服务供应商和运营商都应该实施严格的实名认证程序。

4.2  

API认证风险

当用户在密码创建、更新和管理时,不符合GSMA物联网安全指南[4][5]时,可能会触发风险的一些情况如下:

  • 用户或管理员使用弱密码。

  • 有些平台在创建帐户时不允许使用字典密码,但在更新密码时允许使用字典密码。

  • 虽然有些平台不允许使用字典密码但是也不够安全。

针对该问题,建议遵守最佳密码安全实践,下面再给出一些弱密码和强密码的示例:

  • asdf1234, qwer1234, qwerty1234 -> 弱密码,不被允许。

  • 1qaz2wsx -> top100最弱的密码。

  • iotadmin1 -> 不允许如此设置,因为像初始密码。

  • iotuser1 -> 不允许如此设置,因为密码中的单词过于常用。

  • IotUser10, Password1234, Administrator1 ->覆盖大小写、数字,可以被使用。

4.3  

令牌管理风险

发现在多个平台上没有基于OAuth的令牌生成,静态令牌(即不过期的令牌)应该被严格禁止,而且令牌的有效期如果为24小时至1周的话,其实并没有什么意义。

在此建议使用OAuth和JSON Web令牌的标准方法进行授权。

4.4  

API请求速率风险

在所调查的众多平台中,发现只有2个平台对API请求有速率限制,通过在平台上短时间内测试发送250到500个有效的GET或POST请求,并且所有请求使用相同的IP地址和账户。观察发现,API网关中并没有任何IP拒绝消息或等待消息,比如收到HTTP响应:429 Too Many Requests。虽然一些供应商在用户手册中对API的请求速率进行了限制,但是实际上并没有生效。

针对该问题,建议使用具有随机或指数等待计时器的速率限制策略,即限制连续两次API请求时间间隔。

4.5  

物联网域内私有标识暴露风险    

为了方便开发人员和API使用者对SIM卡和物联网设备的访问控制,使ICCID、IMEI和IMSI(5G中为SUPI)等暴露在物联网区域外,违反了3GPP的安全需求。

对于此问题,建议只使用一个标识符,如通用用户标识符(GPSI)或其他自定义标识符,避免使用可以链接到无线接口的标识符。

4.6  

详细的错误消息泄露风险

由于一些错误信息响应中描述过于详细,攻击者可以从中推断出自己需要的信息,在此前的文章5G安全:5G-AKA链接攻击及对策中,5G-AKA链接发生的根本原因也是利用目标对请求的不同错误消息响应信息。

如图2所示,攻击者可以从API请求的不同错误响应中推断出IMSI是否存在于在平台数据库中。

BlackHat2022:4G/5G新型前门攻击解读

图2  不同的错误响应示例

针对这个问题,可以把错误消息响应显示为一个通用的消息,不必过于具体或暴露过多信息,例如一个错误消息具体到未经授权的原因等。

4.7  

内部软件信息暴露风险

平台内部使用的软件信息也可能通过错误信息暴露,如暴露数据库软件信息:Couchbase,Jboss等,使得该平台的一些部署细节被泄露,如云提供商等。

该问题与上一个问题类似,可以通过将错误消息精简化、通用化来规避该风险。

4.8

内部节点泄露风险

物联网平台的API可能会泄漏核心网中的内部节点,进而导致其内部SSH端口被公开,可能会导致其内部的物联网节点被尝试使用SSH登录,攻击者甚至可能使用暴力破解来进行攻击。

对此情况,建议在平台开发者在设计时加强对配置属性的控制并减少暴露面。

4.9  

恶意软件在用户平面传播风险

有些物联网平台允许恶意数据(如流行的恶意软件和二进制文件)在用户平台面进行传播,信息在传播时,只被限制了数量和大小,平台并没有在传播过程中设置安全检测防护工具对消息内容进行垃圾过滤,因此恶意软件、垃圾和钓鱼邮件都能够在网络中传播,并发送到物联网设备,恶意软件也可以绕过身份认证后发送到任意的物联网设备。虽然运营商认为对短信和数据进行检查违反了国家的法律,但是这确实会导致一些威胁场景的发生。

针对该问题,建议物联网平台在法律允许的范围内加强对信息的安全检测。


五.  物联网服务平台中的漏洞

本章列举了在调查的物联网服务平台中存在的5个漏洞。

5.1  

授权漏洞

物联网用户可以通过使用/ping API发送PING消息在IP层与设备进行通信,用户输入的IP地址为核心网内部分配到目标设备的IP地址,由于平台中可能存在授权漏洞,当目标设备与攻击者在同一个物联网服务平台时,攻击者可以在/ping API请求中插入目标设备的IP地址,并发送到相应的目标物联网设备,目标物联网设备通过ping reply响应恶意的ping请求。

同样,可以对目标设备进行端口扫描,并将恶意IP包注入目标物联网设备。该漏洞影响比较恶劣,一方面增加了通过无线电接口的数据消费,并计入受害者的消费账单另一端方面增加了低功耗物联网设备的电池损耗,导致设备无法继续提供服务。

对于该漏洞建议对API的每个参数对象都进行严格的权限检查。

5.2  

Webhook漏洞

攻击者可以通过Webhook来获取SIM卡的PIN、PUK和用户的详细信息。当使用API发送短信时,HTTP回复会发送到用户自定义的Webhook(URL),使用户的个人信息被泄露,包括:账单详细信息,用户订阅和许多其他与SIM卡相关联的敏感详细信息(身份,PIN1、PIN2、PUK、Opc、SQN、位置等),但是供应商认为一些商用场景的响应中需要包含这些敏感信息。

除此之外,BGP劫持也可以窃取通过HTTP Webhook公开的所有数据。

针对该漏洞,建议只使用HTTPS Webhook,并避免通过互联网向客户发送SIM卡信息和用户的个人信息。

5.3  

访问控制配置漏洞

平台对于敏感数据访问权限的配置也可能会存在一系列的漏洞,敏感数据如SGSN、IP地址等。主要有以下四种情况:

  1. 对受限配置文件中的API用户可见(即使管理员未授权该用户权限)。

  2. API手册指明敏感数据只对管理员可见,但实际没有实现。

  3. 其他参数也可能受到访问控制错误的影响,但未得到验证。

  4. API文档和软件实现之间的差异。

建议在平台的开发过程中严格遵守API文档的安全需求,并对系统进行全面的安全评估测试。

5.4 

 脚本注入漏洞

在物联网服务平台中,脚本注入发生可能性很高,由于接收的参数被篡改或参数本身就为恶意,且API接受命令和脚本作为对象,如,就可能会导致持续的脚本注入攻击,注入的值存储在后端的数据库中,并有可能被另一个后端进程或用户管理进程调用。

对于该漏洞,建议每个参数被接受前都进行严格的检测。

5.5  

XSS执行漏洞

通过服务平台的API进行代码注入,例如,Alias是SIM卡的别名,可以作为用户的输入。当API允许脚本和任意的代码作为输入时,则可能会导致XSS执行漏洞。

首先攻击者通过物联网接入管理平台,因为Alias参数在两个平台间共享,攻击者可以在web界面上注入恶意脚本,导致恶意代码执行,通过旁路授权,攻击者可以将代码注入到另一个用户的平台中并执行恶意代码。

对于该漏洞,建议类似5.4,对每个收到的参数都进行严格的检测后再予以接受。


六.  总结

本文对BlackHat2022的《Attacks from a New Front Door in 4G & 5G mobile networks》议题进行了解读,总结如下:

  1. 在调查的9个平台中,只有5个平台使用了OAuth和TLS。

  2. 所调查的9个物联网平台中只有2个没有受到严重漏洞和API风险的影响

  3. IMSI暴露在3GPP网络外,5G中的SUPI可能也会暴露。

  4. 大多数平台缺乏费率限制和严格的密码限制。

  5. 内部软件信息和核心网络IP地址可能会暴露。

  6. 权限管理相关的漏洞可能导致物联网设备和网络被破坏。

  7. 在许多平台中发现脚本/代码注入漏洞,在内部测试时被忽视。

  8. 在移动网络和物联网网络中不存在对短信和IP详细内容的检查

  9. 攻击者可以通过伪造身份轻松地访问物联网服务平台和API。

最后,安全保证应该从5G和物联网网络的设计开始,并存在于服务的整个流程之中。

报告的视频见[1],PPT内容见[3]。


参考文献

[1] https://www.youtube.com/watch?v=XzvWguiFPX8 

[2]https://www.blackhat.com/us-22/briefings/schedule/#attacks-from-a-new-front-door-in-g--g-mobile-networks-26971

[3]https://i.blackhat.com/USA-22/Wednesday/US-22-Shaik-Attacks-From-a-New-Front-Door-in-4G-5G-Mobile-Networks.pdf

[4] GSM Association. Iot security guidelines for network operators version 2.2, Section 5.8.4- Secure IoT Connectivity Management Platform. https://www.gsma.com/iot/wp-content/uploads/2020/05/CLP.14-v2.2-GSMA-IoT-Security-Guidelines-for-Network-Operators.pdf 

[5] Referring to section 6.11 of GSMA CLP.12 - Never allow a user to utilize a default, weak, or poorly designed password.  https://www.gsma.com/iot/wp-content/uploads/2016/02/CLP.12-v1.0.pdf 


内容编辑:创新研究院  程  章 
 责任编辑:创新研究院  陈佛忠

本公众号原创文章仅代表作者观点,不代表绿盟科技立场。所有原创内容版权均属绿盟科技研究通讯。未经授权,严禁任何媒体以及微信公众号复制、转载、摘编或以其他方式使用,转载须注明来自绿盟科技研究通讯并附上本文链接。

关于我们


绿盟科技研究通讯由绿盟科技创新研究院负责运营,绿盟科技创新研究院是绿盟科技的前沿技术研究部门,包括星云实验室、天枢实验室和孵化中心。团队成员由来自清华、北大、哈工大、中科院、北邮等多所重点院校的博士和硕士组成。

绿盟科技创新研究院作为“中关村科技园区海淀园博士后工作站分站”的重要培养单位之一,与清华大学进行博士后联合培养,科研成果已涵盖各类国家课题项目、国家专利、国家标准、高水平学术论文、出版专业书籍等。

我们持续探索信息安全领域的前沿学术方向,从实践出发,结合公司资源和先进技术,实现概念级的原型系统,进而交付产品线孵化产品并创造巨大的经济价值。

BlackHat2022:4G/5G新型前门攻击解读

长按上方二维码,即可关注我


原文始发于微信公众号(绿盟科技研究通讯):BlackHat2022:4G/5G新型前门攻击解读

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年1月7日16:18:16
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   BlackHat2022:4G/5G新型前门攻击解读http://cn-sec.com/archives/1452359.html

发表评论

匿名网友 填写信息