mstr0j Jun 9 at 08:14

Как я уронил ядро мобильной сети 4G одним пакетом: анатомия Zero‑click уязвимости в Open5GS

Hard

6 min

8.1K

Information Security * Network technologies * Wireless technologies * Reverse engineering * IT Infrastructure *

Case

From sandbox

+10

Comments 6

Granulex Jun 9 at 11:05

«Стандарт обязывает, значит парсер гарантирует» – классика телекома. К этому стоит добавить: ogs_assert() в production-коде с включённым NDEBUG компилируется в NOP – и NULL-указатель тихо едет дальше до первого разыменования, превращая предсказуемый crash в undefined behavior. Правильная замена – явный if + return OGS_ERROR вместо assert, не только в этом месте.

mnemonik01 Jun 9 at 19:51

"Использование форков" - на любом нормальном предприятии нет.

"Взлом фемтосот" - ну вообще их кличут пикосотами, но в целом нет. Получить просто физический доступ к этой соте - уже нет, а если и да то залогониться в нее отдельная проблема, если и этот рубеж пройти то все равно из локального интерфейса серты не выдрать, нет просто такой функции там бай дезайн. Залить - да, перезаписать существующие - да, выкачать имеющиеся - нет.

И даже если (вот с чего бы вдруг на самом деле?) подискутировать о том что предыдущие задачи решены и ноутбук попытается законнектиться к мме (даже его адреса шифрованы. И адреса гейтвеев-айписеков тоже. И пабрацки, просто чтобы пингануть канал никому их не дают к слову, даже если этот канал в аренде) его пошлют по известному адресу, куда идти далеко, долго и вообще обидно, есть там отдельные рубежи.

mstr0j Jun 11 at 08:06

Спасибо за мнение. Есть пара нюансов, о которых я хочу сказать, а именно:

Фемтосоты, пикосоты — по стандарту 3GPP это всё называется HeNB. И получить к ним доступ не такая уж и непосильная задача для ред-тиминга, например, прийти под видом клининга или курьера в офис.

Вы говорите, что «серты не выдрать бай дезайн», но кто сказал, что нельзя воспользоваться прямым дампом флеш-памяти и извлечь всю файловую систему вместе с сертификатами? Такие практики уже демонстрировались.

И если мы подняли туннель и подключились, то уже оказались внутри шифрованного канала, ну и дальше достаточно запустить tcpdump.

А в статье я описал лишь моделирование угроз и, соответственно допущениях компрометации внешки, поэтому если бизнес-логика падает от одного кривого пакета, то никакие внешние фаерволлы не спасут.

Sagittarius67 Jun 11 at 07:53

Femto LTE, она же HeNb, подключается к коре через HeNb-GW, не напрямую. Если же речь шла про pico, mini или micro, то да, как и было выше сказано, сертификат извлечь не удастся. И лучше в статьях не употреблять слово "вышка" в отношении базовой станции - это жёсткое палево в профессиональной среде.

mstr0j Jun 11 at 08:16

Спасибо за конструктивное дополние. Да, согласен по поводу терминологии. В статье использовал это слово осознанно, как легкий журналистский сленг для широкой аудитории Хабра.

Про сертификаты ответил в комментариях выше.

И кстати, интересно, если HeNB-GW проксирует сигнальный трафик, есть ли шанс уронить сам шлюз?

Abdulin Jun 13 at 04:47

Сейчас у многих операторов взять фемту в аренду не сложнее чем подключить интернет домой. И не нужно притворяется курьером или клинингом;)