Embed Size (px)
Citation preview
ptsecurity.ru
Сергей Машуков
Уязвимости Diameter в LTE
Что такое LTE
LTE — стандарт беспроводной
высокоскоростной передачи
данных для мобильных
телефонов и других терминалов,
работающих с данными
Что такое LTE
Новый радиоинтерфейс
Схема: EUTRAN architecture as part of a LTE and SAE network/ Crati / CC BY-SA 3.0
Что такое LTE
• Новая архитектура ядра сети
• Разделение user-plane-и control-plane-траффика
• All-IP
Схема: EPC nodes and interfaces / Joe Deu-Ngoc / CC BY-SA 4.0
Нет SS7 — нет проблем
Более 50 разных SS7-атак:• определение IMSI по MSISDN• определение местоположения
абонента• DoS на абонента• перехват и манипуляция SMS• перехват разговоров• чтение чатов Telegram, WhatsApp
Diameter
• AAA-протокол сеансового уровня • Клиент-серверная архитектура• Cleartext• SCTP• IPsec или TLS/DTLS для
шифрования• Расширяемый
Diameter повсюду
UE S-GWeNodeB P-GW
MME HSS
CSCFAS
PCRF
EIR
OCS/OFCS
Internet
IMS
EPC
S1-U S5/S8
S1-MME S11
S13 Sh
Cx
S6a
Rx Ro
Gy
GxGxx
Маршрутизация в Diameter
HopbyHopEndtoEnd
0x111111110x33333333
0x222222220x33333333
HopbyHopEndtoEnd
0x222222220x33333333
0x111111110x33333333
Маршрутизация запросов осуществляется на основании Application Id, Destination-Host AVP и Destination-Realm AVP
DEAHSSMME
Маршрутизация в Diameter: спуфинг
• Злоумышленник посылает запрос, используя Diameter IdentityMME
• Ответы всегда возвращаются по тому же пути, по которому пришел запрос!
DEAHSS
MME
Attacker
Другие проблемы Diameter
• Динамический поиск узлов• IPsec не используется• Трансляция менее
защищенных протоколов
Diameter Roaming
• S6a/S6d для управления мобильностью в роуминге
• 3GPP TS29.272
Схема: End to end Diameter Architecture / GSMA IR.88: LTE Roaming Guidelines / Copyright © 2013 GSM Association
Как попасть в IPX
• Общая IPX-сеть объединяет операторов — вопрос доверия
• IR.21 • Ошибки в конфигурации
и видимость через Shodan• Злоумышленник внутри
организации
IMSI Disclosure: Radio
• IMSI catcher• Фальшивая точка
доступа к WLAN
IMSI Disclosure: SS7
• Достаточно знать только MSISDN• Четыре SS7-сообщения:
• SRI4SM• SRI• SRI4LCS• SendIMSI SS7 Attacker
MSCVLR
STP2
1
3
Subscriber Number
HLRSubscriber IMSIMSC AddressHLR Address
IMSI Disclosure: тяжелое наследие SS7
• Diameter S6c SRR (Send-Routing-Info-for-SM-Request),посланное на S6c (IWF)
IPX HSSAttackerDEA
SRR (MSISDN,Fake SMSC address)SM Delivery Not Intended flag
1 2
IMSI Disclosure: тяжелое наследие SS7
• Diameter S6c SRR (Send-Routing-Info-for-SM-Request),посланное на S6c (IWF)
IPX HSSAttackerSRA (IMSI,Serving Node Identity)
DEA
1 2
34
S6a Insert-Subscriber-Data-Request: определение местоположения абонента
IPX
HSS
AttackerDEA
IDR (IMSI andUE Reachability Request, EPS Location Information Request, Current Location Request, Local Time Zone Request flags are set)
MME
1
2
• Location tracking via S6a IDR towards MME
S6a Insert-Subscriber-Data-Request: определение местоположения абонента
IPX
HSS
AttackerDEA
IDA (EPS Location Information, Time Zone)
MME
1
2
3
4
• Location tracking via S6a IDR towards MME
S6a Insert-Subscriber-Data-Request: Subscriber DoS
• DoS on a subscriber via S6a IDR towards MME
IPX
HSS
AttackerDEA
IDR (IMSI andAll bits in Operator Determined Barring AVP are set)
MME
1
2
S6a Insert-Subscriber-Data-Request: Subscriber DoS
• DoS on a subscriber via S6a IDR towards MME
IPX
HSS
AttackerDEA
MME
IDA 2
3
4
1
Detach procedure started
S6a Insert-Subscriber-Data-Request: мошенничество
• Fraud via S6a IDR towards MME
IPX
HSS
Attacker
DEA
IDR (IMSI andAll bits in Operator Determined Barring AVP are unset)
MME
1
2
S6a Insert-Subscriber-Data-Request: мошенничество
• Fraud via S6a IDR towards MME
IPX
HSS
Attacker
DEA
MME
DEA
IDA
2
3
1
4
Злоумышленник пользуется связью, несмотря на то что ранее она была заблокирована
S6a Cancel-Location-Request: Subscriber DoS
• DoS on a subscriber via S6a CLR towards MME
IPX
HSS
Attacker
DEA
CLR (IMSI, Cancellation-Type=Subscription Withdrawal, CLR-Flags=1(Reattach is not required))
MMEDetach procedure started
1
2
S6a Cancel-Location-Request: Subscriber DoS
• DoS on a subscriber via S6a CLR towards MME
IPX
HSS
Attacker
DEA
CLA
MME
1
2
Detach procedure started
3
4
S6a Cancel-Location-Request: DoS on Equipment
• DoS on equipment via S6a CLR towards MME
IPX
HSS
Attacker
DEA
CLR (IMSI, Cancellation-Type=Subscription Withdrawal, CLR-Flags=3(Reattach is required))
MMEDetach procedure
1
2
Attach procedure
S6a Update-Location-Request: Subscriber DoS
• DoS on a subscriber via S6a ULR towards HSS
IPX
HSS
Attacker
DEA
ULR (IMSI, Initial Attach Indicator is set)
MME
1
2
S6a Update-Location-Request: Subscriber DoS
• DoS on a subscriber via S6a ULR towards HSS
IPX
HSS
Attacker
DEA
MMEDetach procedure started
1
2
3 CLR
S6a Update-Location-Request: Subscriber DoS
• DoS on a subscriber via S6a ULR towards HSS
IPX
HSS
Attacker
DEA
ULR (IMSI, Initial Attach Indicator is set)
MMEDetach procedure started
1
2
3CLA 4
5
6ULA
Рекомендации
• Использовать IPsec
• Применять Diameter Firewall в связке с Diameter IDS
• Использовать статическую конфигурацию узлов Diameter
• Исключить из конфигурации DEA все неиспользуемые
интерфейсы
• Контролировать доступность IR.21 в сети
• Использовать SMS Home Routing
Спасибо!
ptsecurity.ru
