Уязвимости в безопасности в современном сетевом протоколе GTP, который популярен среди многих операторов мобильной связи, могут быть использованы злоумышленниками для атаки пользователей, подключенных к 4G или 5G сети.
Ученые и исследователи из организации Positive Technologies Security, занимающейся кибербезопасностью, обнаружили несколько уязвимостей в протоколе связи GPRS Tunnelling Protocol (GTP), который применяется многими операторами мобильной сети (MNOs). Злоумышленники могут воспользоваться этими недостатками для осуществления вредоносных действий, направленных против пользователей 4G или 5G сети.
GPRS Tunnelling Protocol (GTP) — это группа протоколов сети на базе IP. Применяется для передачи GPRS в сетях GSM, UMTS и LTE.
Мошенники знают об этих недостатках и могут воспользоваться ними для перехвата пользовательских данных или для того, чтобы выдавать себя за жертв; проводить такие атаки, как DoS, или просто заниматься вымогательством.
Протокол GTP имеет ряд уязвимостей, которые несут в себе потенциальную угрозу как мобильным операторам, так и их клиентам. В результате злоумышленники могут вмешаться в работу сетевого оборудования и даже оставить целый город без связи, выдавать себя за других пользователей для доступа к различным важным данным, а также воспользоваться различными интернет-услугами за счет оператора или абонента. Почти каждая проверенная учеными сеть была уязвимой для атак DoS. Как говорится в отчете, опубликованном экспертами, уровень риска достаточно высокий: в некоторых случаях атаку можно осуществить просто с помощью мобильного телефона. Ошибки в протоколе GTP непосредственно влияют на безопасность сети 5G.
В период с 2018 по 2019 год исследователи провели оценку 28 различных операторов связи в Европе, Азии, Африке и Южной Америке и проверили их на наличие уязвимостей в протоколе GTP.
Базовая сеть GPRS и ее преемник Evolved Packet Core (EPC) основаны на протоколе GTP. Сети 5G используют EPC в качестве базовой для осуществления беспроводной связи, по этой причине уязвимости, обнаруженные экспертами, также могут повлиять и на пользователей 5G.
Второй недостаток архитектуры связан с учетными данными , которые по умолчанию проверяются на оборудовании S-GW (SGSN). Мошенники могут использовать этот недостаток для создания копии узла, который действует как SGSN (обслуживающий узел поддержки GPRS).
Злоумышленники также могут прибегнуть к запуску скомпрометированного идентификатора для пользования мобильным интернетом за счет законного владельца карты, что считается настоящим мошенничеством. Преступники имеют возможность захватить данные сеанса пользователя, в которых содержатся необходимые идентификаторы (например, номер телефона) реального абонента, и выдать себя за него для получения доступа в интернет.
Как говорится в докладе, эти атаки также могут быть использованы мошенническим MNO для создания роумингового трафика, при этом MNO будет брать плату с другого оператора за несуществующую роуминговую активность абонента этого оператора.
На всех протестированных сетях была возможность включить мобильный интернет и войти в них, тратя деньги абонента или оператора. Все сети, которые были подвержены оценке исследователей, считаются уязвимыми для выполнения выключения сетевого оборудования. Злоумышленники могут воспользоваться этим «слабым местом» для проведения DoS-атаки, которая препятствует подключению реальных абонентов к интернету.
В докладе также говорится, что массовая потеря связи особенно опасна для сетей 5G, поскольку ее абонентами являются устройства IoT, такие как промышленное оборудование, smart-дома и городская инфраструктура. Эксперты рекомендуют операторам внедрять IP-фильтрацию на основании белых списков на уровне GTP для того, чтобы избавиться от уязвимостей.
Для того чтобы улучшить ситуацию, операторам необходимо внимательно изучить протокол GTP, обеспечить его фильтрацию и разработать специальные меры безопасности, ведь защита данных должна быть приоритетом во время проектирования сети. Сейчас это очень актуально, поскольку операторы начинают заниматься строительством сетей 5G.
Однако самая большая проблема заключается в том, что протокол не проверяет фактическое местоположение пользователя. Любая гостевая сеть, в которой на данный момент находится абонент, может отправлять набор особых сообщений-сигналов в домашнюю сеть абонента, поэтому достаточно трудно определить, является ли входящий трафик доверенным и законным.
Автор переведенной статьи: Pierluigi Paganini
