Доступ к сетям сигнализации SS7 через радиоподсистему – теперь это возможно



    Изображение: Pexels

    О безопасности сигнальных сетей SS7 мы (и не только мы) говорим достаточно давно, однако до сих пор есть много скептицизма: «никто не может получить доступ к SS7», «если даже кто-то получит доступ к SS7 и начнет вести нелегитимную активность, его сразу заблокируют в операторе-источнике» и даже «GSMA за всеми следит и, если что, даст по башке тому, кто этим занимается».

    Однако на практике в проектах по мониторингу безопасности мы видим, что злоумышленники могут иметь подключение к сети SS7 в недрах одного оператора годами. Более того, злоумышленники не дожидаются, когда их подключение обнаружат и заблокируют в одном операторе-источнике, они параллельно ищут (и находят) подключения в других операторах, и могут работать параллельно по одним целям сразу из нескольких мест.

    До последнего времени и мы, и другие компании, занимающиеся телеком-безопасностью, рассматривали следующие модели нарушителя в сигнальных сетях (в порядке вероятности):

    • нарушители, получившие доступ к сигнальным сетям через инсайдера в телеком-операторе;
    • нарушители, подконтрольные госорганам;
    • нарушители, получившие доступ к сигнальным сетям с помощью взлома телеком-оператора.

    Существование нарушителей, реально взломавших сеть оператора связи, обычно представляется наименее вероятным. Взлом же мобильного оператора через подсистему радиодоступа с дальнейшим получением доступа к сигнальной сети и вовсе считается практически невозможным. Теперь уже можно сказать: такой взлом считался практически невозможным (именно так, в прошедшем времени), поскольку на конференции по информационной безопасности Hack In The Box, которая только что завершилась в Дубае, группа исследователей показала, что злоумышленник может получить доступ к сети SS7, взломав оператора мобильной связи через его же радиоинтерфейс.

    Схема атаки


    Когда абонент подключается к мобильному интернету, его IP-сессия туннелируется от абонентского устройства, будь то смартфон, планшет или компьютер, подключенный через модем, до узла GGSN (в случае 2G/3G-сети) или до узла PGW (в случае LTE-сети). Когда пакетную сессию устанавливает злоумышленник, он может провести сканирование пограничного узла с целью поиска уязвимостей, найдя и проэксплуатировав которые он способен проникнуть глубже в опорную IP-сеть оператора.

    Попав внутрь периметра мобильного оператора, злоумышленник должен отыскать платформы, которые представляют VAS-услуги и подключены к сигнальным сетям. В примере, представленном исследователями, это была платформа RBT (Ring-Back Tone), которая проигрывает мелодию вместо гудка. Данная платформа имела соединение по сигнальным каналам SS7 с узлами HLR и MSC.
    Сетевые инженеры, устанавливавшие и эксплуатировавшие платформу RBT, не уделили должного внимания ее безопасности, считая, видимо, что она находится во внутреннем периметре оператора. Поэтому исследователям удалось относительно быстро получить доступ к системе и повысить свои права до уровня root.

    Далее, имея права администратора на системе RBT, исследователи установили опенсорсное программное обеспечение, предназначенное для генерации сигнального трафика. С помощью этого ПО они просканировали внутреннюю сигнальную сеть и получили адреса сетевого окружения — HLR и MSC/VLR.

    Теперь, зная адреса сетевых элементов и имея возможность полностью управлять сетевым элементом, подключенным к сигнальной сети SS7, исследователи получили идентификаторы IMSI своих телефонов, которые использовались в качестве тестовых жертв, и далее — информацию об их местоположении. Если бы злоумышленники аналогичным образом получили доступ к сигнальной сети, они могли бы атаковать любого абонента любого оператора мобильной связи.

    В чем проблема


    Для того чтобы начать защищаться, нужно понять, в чем именно состоит проблема, которая сделала возможной атаку, ранее считавшуюся нереализуемой. Ответ прост: проблема в множественных уязвимостях, причиной которых являются главным образом ошибки в конфигурации оборудования.

    Технический прогресс, плодами которого являются новые услуги, приносит также и новые уязвимости. Чем больше сервисов предоставляет оператор связи, тем больше ответственность инженеров при настройке оборудования. Большое количество технологий требует более серьезного подхода к их использованию, в том числе с точки зрения информационной безопасности. Но, к сожалению, понимают это не везде.

    Как защититься


    В заключение своего доклада исследователи дали операторам мобильной связи ряд рекомендаций, как избежать подобных взломов со стороны реальных нарушителей. Во-первых, необходимо тщательно настраивать внутреннюю опорную IP-сеть, проводить сегрегацию трафика, привязывать сервисы к соответствующим сетевым интерфейсам, ограничивать доступность сетевых элементов со стороны мобильных устройств и из интернета, не использовать пароли по умолчанию. Другими словами, все сетевые элементы IP-сети должны соответствовать стандартам и политикам безопасности. Для этого Positive Technologies рекомендует использовать решение MaxPatrol 8, которое поможет просканировать сетевые элементы внутренней сети и найти уязвимости раньше, чем это сделает злоумышленник.

    Во-вторых, нужно использовать активные средства защиты сигнальных сетей, такие как SS7 firewall. Решение такого класса позволит не допустить атак по сигнальной сети извне, а также атак из сети мобильного оператора в отношении других сетей — если злоумышленнику все же удалось получить несанкционированный доступ к сигнальной сети через радиоподсистему или интернет.
    И в-третьих — в обязательном порядке использовать систему мониторинга безопасности сигнального трафика и обнаружения вторжений, чтобы вовремя выявлять попытки атак и иметь возможность оперативно заблокировать вредоносный узел.

    Кстати говоря, с последними двумя задачами отлично справляется система обнаружения и реагирования на вторжения PT Telecom Attack Discovery.

    Наши исследования по теме безопасности сетей SS7:



    Автор: Сергей Пузанков, эксперт по безопасности телеком-операторов, Positive Technologies

    Positive Technologies

    320,00

    Компания

    Поделиться публикацией
    Комментарии 10
      +3
      Заголовок слегка кликбейтный, уж извините.

      Однако на практике в проектах по мониторингу безопасности мы видим, что злоумышленники могут иметь подключение к сети SS7 в недрах одного оператора годами.

      А есть примеры?

      Теперь уже можно сказать: такой взлом считался практически невозможным

      Кем и когда он считался? В статье правильно написано — если создается канал от железки до железки, вполне логично предполагать, что удаленная железка может быть уязвима, что взломщики и продемонстрировали.

      Сетевые инженеры, устанавливавшие и эксплуатировавшие платформу RBT, не уделили должного внимания ее безопасности, считая, видимо, что она находится во внутреннем периметре оператора.

      Платформа RBT была вторым шагом, первым — GGSN или PGW (совершенно непонятно, что именно). Виновны во взломе не те, кто эксплуатировал RBT, а те, кто сделал GGSN/PGW c дырой.

      Из статьи совершенно непонятно, зачем им было нужно «опенсорсное программное обеспечение для генерации сигнального траффика»? Там какой-то вдребезги урезанный линукс был, что ни список процессов не посмотреть, ни конфигурацию открыть, ни проверить, куда стоят SCTP-ассоциации? Можно сдампать CAP/INAP траффик опять же. У тебя рут, ты сервер можешь хоть в узел завязать, он не будет против.

      Ну и да, если бы они ломали какой-нибудь ePDG, то можно было бы написать, что «нынче возможен взлом сотового оператора over WiFi». Потому, что радиоинтерфейс в данном случае — это всего лишь навсего канал.
        0
        А есть примеры?

        Есть, но мы не можем разглашать информацию ни об операторах у которых они имеют подключения, ни об операторах/абонентах на которые они проводят атаки. Информация передана операторам.

        Кем и когда он считался? В статье правильно написано — если создается канал от железки до железки, вполне логично предполагать, что удаленная железка может быть уязвима, что взломщики и продемонстрировали.

        Операторами, т.к. они всегда утверждают что сегмент пользователей изолирован не только от любых внутренних железок оператора, но и пользователей между собой. В данном случае канала от железки до железки быть не должно.

        Из статьи совершенно непонятно, зачем им было нужно «опенсорсное программное обеспечение для генерации сигнального траффика»?

        Для осуществления атак SS7 необходимо крафтить пакеты и направлять их на определенные сетевые элементы.
          0
          Есть, но мы не можем разглашать информацию

          Допустим.

          Операторами, т.к. они всегда утверждают что сегмент пользователей изолирован

          Ау, дефолтные пароли на смотрящем во внешний мир GGSN, какая «изоляция сегмента пользователей»? Это даже не использование эксплойта, это адовая криворукость эксплуататоров железки!

          . В данном случае канала от железки до железки быть не должно.

          «Когда абонент подключается к мобильному интернету, его IP-сессия туннелируется от абонентского устройства, будь то смартфон, планшет или компьютер, подключенный через модем, до узла GGSN (в случае 2G/3G-сети) или до узла PGW (в случае LTE-сети). Когда пакетную сессию устанавливает злоумышленник, он может провести сканирование пограничного узла с целью поиска уязвимостей, найдя и проэксплуатировав которые он способен проникнуть глубже в опорную IP-сеть оператора.» (С)

          Не будет канала — не будет пакетной сессии.

          Для осуществления атак SS7 необходимо крафтить пакеты и направлять их на определенные сетевые элементы.

          «С помощью этого ПО они просканировали внутреннюю сигнальную сеть и получили адреса сетевого окружения — HLR и MSC/VLR.»

          Если доподлинно известно, что сетевой элемент взаимодействует с другим сетевым элементом, необязательно что-то там «сканировать», можно посмотреть конфигурацию используемого ПО и проанализировать входящий/исходящий траффик, в данном случае — протоколы стека SIGTRAN. Все равно все едет по SCTP, смотрим, куда стоят ассоциации, какие там в траффике Global Title-ы, и какие сообщения… исходя из сообщений, можно понять, где там регистры, а где коммутатор. А вот уже потом, зная все это, можно начинать крафтить пакетики для атаки.

          p.s. почему MSC/VLR? Это две очень разные сущности.
        0

        В каких ss7 протоколах использовались дыры для попадания в граничный элемент? или GGSN входил в APN IP pool? не совсем

          0
          Судя по всему, криво IP сеть была настроена, в следствии чего они смогли просканировать GGSN или PGW и найти в нем уязвимость, опять же, связанную не с ss7, а скорее всего какую-то линуксовую/юниксовую.
            0
            Доступный SSH с дефолтным логином/паролем, отсутствие изоляции пользовательского сегмента.
              0

              Отсутствие изоляции пользовательского сегмента на GGSN — это нужно очень уж ухитриться. В таком случае про любую систему безопасности можно сказать, что она не гарантирует 100% защиты, потому что ее всегда может кто-то криво настроить. Человеческий фактор.

            0
            он может провести сканирование пограничного узла с целью поиска уязвимостей, найдя и проэксплуатировав которые он способен проникнуть глубже в опорную IP-сеть оператора.

            Что за уязвимости?
              0
              Самое интересное, как раз, как ломали GGSN/PGW. Невидимость GW для трафика клиентов, это одно из базовых требований, обычно его проверяют при каждой новой интеграции. А когда есть доступ к мобильной коре, то дальше можно делать все что угодно.

            Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

            Самое читаемое