BlackHat2022：4G/5G新型前門攻擊解讀 - 網安 - 專業的網絡安全產業、社區、知識平臺

一. 概述

2022年的Black Hat大會上，來自柏林工業大學的Dr. Altaf Shaik和Shinjo Park帶來了議題《Attacks from a New Front Door in 4G & 5G mobile networks》，該議題對來自10個商業供應者和運營商共計數百個API進行了安全調查，結果表明這些API都有著不同程度的缺陷，并且或多或少都包含幾個OWASP TOP 10嚴重的API安全威脅。攻擊者可以輕松地利用這些API缺陷找到遠程命令漏洞或代碼執行漏洞，進而影響數十億4G/5G網絡終端設備的正常運行。

二. 背景

API在電子信息行業的興起注定要改變移動網絡在過去的運營方式。最新的移動網絡現在向企業客戶、服務提供商和應用程序開發商敞開大門，提供對運營商網絡內數據和核心網絡功能的訪問。基于HTTP的RESTful API范例將使得這種訪問極其方便，并允許將汽車、醫療保健、工業和許多其他領域與5G移動網絡集成。

在過去十幾年中，移動網絡中發現的攻擊可以分為如下幾類：

缺少充足的身份認證和安全協議造成的無線接入網絡攻擊，包括IMSI捕獲、偽基站等。
運營商間的絕對信任，造成了SS7和Diameter信令攻擊。
SIM卡瀏覽器的漏洞，造成了SIM卡攻擊，包括身份認證、模擬操縱等。
垃圾短信郵件
后門（竊聽）
API泄露（錯誤的Web應用程序配置）

對于用戶來說，經典攻擊如信息泄露、未知追蹤、短信電話攔截、拒絕服務、欺詐持續存在。

三. 能力開放引發的新型前門攻擊

前門（Frond Door），區別于后門，可以理解為開發者為了實現某種能力而所留下必要的入口，在5G領域中，前門是為了獲取能力開放所暴露的API。前門攻擊指攻擊者利用這些前門而發動的攻擊，例如在5G領域，前門攻擊則是指攻擊者利用5G網絡中暴露的API進行攻擊；在設備制造領域，前門攻擊是指劫持原始設備制造廠商的訪問機制，對原廠編程方法進行逆向工程的攻擊方式。

隨著5G和物聯網共同快速的發展，5G網絡能力開放的新特性使得更多的API被暴露，這一特點經常被用于攻擊物聯網設備。隨著設備和5G應用場景的增多，智慧工廠、智慧家庭、智慧醫療中的物聯網設備依靠一張物聯網SIM卡就通過基站連接5G核心網，其核心數據通常存儲在云端，而這些物聯網設備的數據可能通過物聯網服務平臺所暴露的API暴露。如圖1所示，物聯網設備通過基站接入核心網，垂直行業、第三方、應用開發者可能在核心網通過API暴露其開放的功能時，受到新型前門攻擊。

圖1 4G/5G網絡架構中能力開放可能會成為前門

3.1

網絡功能開放的流程

那么，如何才能開放網絡功能呢？通過物聯網服務平臺訪問網絡開放服務的工作流程如下：

聯系物聯網平臺的服務提供商請求所需要的服務。
提供行業/公司的身份信息。
訂閱商業計劃（包括NB-IoT/LTE-M SIM卡）。
收到SIM卡（Mail）和API的接口權限（email）。
激活SIM卡和API的使用者。
接入服務的API，并集成到物聯網應用程序的功能中。

因此，在商業協議簽訂后，用戶將得到訪問權限。比如訪問一個物聯網連接管理平臺，可以通過WEB界面來完成對用戶或SIM卡的管理，如激活SIM卡或注銷SIM卡。

3.2

服務平臺的攻擊模型

一個物聯網服務平臺通常由以下要素構成：

服務API的端口。
30-100個用于物聯網設備的API，如進行連接狀態的確認、位置跟蹤、信息交換、IP數據更改等。
支持一些應用，例如智慧工廠、虛擬現實、車隊跟蹤、車輛遠程信息技術等。
計費和數據管理、SIM和憑證管理、設備IP地址管理、漫游策略控制等。
API訪問角色：API管理員，API用戶、開發人員。

在此，提一下3GPP標準推薦的基本安全機制，如下：

認證和授權（OAuth 2.0）
保密性和完整性保護（TLS）
隱私
速度限制
登錄和模擬
GSMA的指導

一個服務平臺攻擊模型，首先需要與運營商或服務提供商之間存在業務關系，擁有身份認證憑據可以進行認證與授權，進而能夠訪問服務平臺和API服務。攻擊模型的目標是能夠獲取物聯網設備平臺中任意使用者的數據并進入服務器和核心網。

3.3

物聯網平臺的安全問題及安全分析流程

物聯網平臺中往往會存在如下的安全問題：

行業的標準安全機制是否充足
針對物聯網APP的業務邏輯缺陷測試問題
Web/API防火墻安全設計問題
安全掃描器和自動化測試問題
對物聯網服務平臺可能面臨的攻擊認知水平有限

在以上的基礎上，作者對9個商用的物聯網平臺的API進行了安全分析，流程如下：

首先是尋找漏洞，從API配置、輸入驗證、業務流、身份認證、訪問控制、傳輸層安全等方面尋找。
選擇可能對平臺業務和聲譽造成很大影響的API，比如可能會造成賬單欺詐，Dos，代碼執行、設備劫持等后果的API。。
使用Burp Suite、ZAP和其他常用API測試工具，并依賴OWASP Web安全測試和REST安全表的指南建模一系列的攻擊，如插入惡意的負載、字串、字符、文件等。

在進行API的安全分析時，作者還考慮到了以下道德倫理問題：

只訪問或操作自己的用戶或管理員賬戶對應的API數據。
只分析每個平臺關鍵的API參數（如IMSI、ICCID、APN、關稅、充值、MSISDN、SMS）的漏洞，避免流量去往API平臺。
GET/POST/PUT操作只會進入自己的賬戶。
采取的措施既不破壞平臺，也不會中斷其他垂直領域或用戶正在使用的API服務。
采用清晰的猜想策略，而不是隨機滲透或功能測試。
不使用DoS等的暴力攻擊手段。

四. 物聯網平臺中的設計風險

本議題從訪問控制、身份認證和數據泄露等三個角度分析了物聯網平臺中的設計風險，主要有以下9個設計風險：

4.1

偽造訪問風險

用戶在獲取物聯網服務平臺的過程容易受到社會工程攻擊，主要有以下幾個方面

攻擊者使用偽造公司的身份證明和偽造的電子郵件進行注冊，在許多供應商處都可以輕松通過驗證。
通過任意的地址收到SIM卡，并訪問API服務。
現在攻擊者可以訪問物聯網平臺云和托管在其上的數據資源。
攻擊者在訪問平臺時偽裝成目標公司/行業。
由于許多平臺都沒有速率和次數限制，因此可以使用無限的API操作發現漏洞。
缺乏嚴格的監控和日志記錄模塊使得攻擊者更加猖獗。

針對這種偽造訪問的威脅場景，建議服務供應商和運營商都應該實施嚴格的實名認證程序。

4.2

API認證風險

當用戶在密碼創建、更新和管理時，不符合GSMA物聯網安全指南[4][5]時，可能會觸發風險的一些情況如下：

用戶或管理員使用弱密碼。
有些平臺在創建帳戶時不允許使用字典密碼，但在更新密碼時允許使用字典密碼。
雖然有些平臺不允許使用字典密碼但是也不夠安全。

針對該問題，建議遵守最佳密碼安全實踐，下面再給出一些弱密碼和強密碼的示例：

asdf1234, qwer1234, qwerty1234 -> 弱密碼，不被允許。
1qaz2wsx -> top100最弱的密碼。
iotadmin1 -> 不允許如此設置，因為像初始密碼。
iotuser1 -> 不允許如此設置，因為密碼中的單詞過于常用。
IotUser10, Password1234, Administrator1 ->覆蓋大小寫、數字，可以被使用。

4.3

令牌管理風險

發現在多個平臺上沒有基于OAuth的令牌生成，靜態令牌（即不過期的令牌）應該被嚴格禁止，而且令牌的有效期如果為24小時至1周的話，其實并沒有什么意義。

在此建議使用OAuth和JSON Web令牌的標準方法進行授權。

4.4

API請求速率風險

在所調查的眾多平臺中，發現只有2個平臺對API請求有速率限制，通過在平臺上短時間內測試發送250到500個有效的GET或POST請求，并且所有請求使用相同的IP地址和賬戶。觀察發現，API網關中并沒有任何IP拒絕消息或等待消息，比如收到HTTP響應：429 Too Many Requests。雖然一些供應商在用戶手冊中對API的請求速率進行了限制，但是實際上并沒有生效。

針對該問題，建議使用具有隨機或指數等待計時器的速率限制策略，即限制連續兩次API請求時間間隔。

4.5

物聯網域內私有標識暴露風險

為了方便開發人員和API使用者對SIM卡和物聯網設備的訪問控制，使ICCID、IMEI和IMSI（5G中為SUPI）等暴露在物聯網區域外，違反了3GPP的安全需求。

對于此問題，建議只使用一個標識符，如通用用戶標識符(GPSI)或其他自定義標識符，避免使用可以鏈接到無線接口的標識符。

4.6

詳細的錯誤消息泄露風險

由于一些錯誤信息響應中描述過于詳細，攻擊者可以從中推斷出自己需要的信息，在此前的文章5G安全：5G-AKA鏈接攻擊及對策中，5G-AKA鏈接發生的根本原因也是利用目標對請求的不同錯誤消息響應信息。

如圖2所示，攻擊者可以從API請求的不同錯誤響應中推斷出IMSI是否存在于在平臺數據庫中。

圖2 不同的錯誤響應示例

針對這個問題，可以把錯誤消息響應顯示為一個通用的消息，不必過于具體或暴露過多信息，例如一個錯誤消息具體到未經授權的原因等。

4.7

內部軟件信息暴露風險

平臺內部使用的軟件信息也可能通過錯誤信息暴露，如暴露數據庫軟件信息：Couchbase，Jboss等，使得該平臺的一些部署細節被泄露，如云提供商等。

該問題與上一個問題類似，可以通過將錯誤消息精簡化、通用化來規避該風險。

4.8

內部節點泄露風險

物聯網平臺的API可能會泄漏核心網中的內部節點，進而導致其內部SSH端口被公開，可能會導致其內部的物聯網節點被嘗試使用SSH登錄，攻擊者甚至可能使用暴力破解來進行攻擊。

對此情況，建議在平臺開發者在設計時加強對配置屬性的控制并減少暴露面。

4.9

惡意軟件在用戶平面傳播風險

有些物聯網平臺允許惡意數據（如流行的惡意軟件和二進制文件）在用戶平臺面進行傳播，信息在傳播時，只被限制了數量和大小，平臺并沒有在傳播過程中設置安全檢測防護工具對消息內容進行垃圾過濾，因此惡意軟件、垃圾和釣魚郵件都能夠在網絡中傳播，并發送到物聯網設備，惡意軟件也可以繞過身份認證后發送到任意的物聯網設備。雖然運營商認為對短信和數據進行檢查違反了國家的法律，但是這確實會導致一些威脅場景的發生。

針對該問題，建議物聯網平臺在法律允許的范圍內加強對信息的安全檢測。

五. 物聯網服務平臺中的漏洞

本章列舉了在調查的物聯網服務平臺中存在的5個漏洞。

5.1

授權漏洞

物聯網用戶可以通過使用/ping API發送PING消息在IP層與設備進行通信，用戶輸入的IP地址為核心網內部分配到目標設備的IP地址，由于平臺中可能存在授權漏洞，當目標設備與攻擊者在同一個物聯網服務平臺時，攻擊者可以在/ping API請求中插入目標設備的IP地址，并發送到相應的目標物聯網設備，目標物聯網設備通過ping reply響應惡意的ping請求。

同樣，可以對目標設備進行端口掃描，并將惡意IP包注入目標物聯網設備。該漏洞影響比較惡劣，一方面增加了通過無線電接口的數據消費，并計入受害者的消費賬單另一端方面增加了低功耗物聯網設備的電池損耗，導致設備無法繼續提供服務。

對于該漏洞建議對API的每個參數對象都進行嚴格的權限檢查。

5.2

Webhook漏洞

攻擊者可以通過Webhook來獲取SIM卡的PIN、PUK和用戶的詳細信息。當使用API發送短信時，HTTP回復會發送到用戶自定義的Webhook（URL），使用戶的個人信息被泄露，包括：賬單詳細信息，用戶訂閱和許多其他與SIM卡相關聯的敏感詳細信息（身份，PIN1、PIN2、PUK、Opc、SQN、位置等），但是供應商認為一些商用場景的響應中需要包含這些敏感信息。

除此之外，BGP劫持也可以竊取通過HTTP Webhook公開的所有數據。

針對該漏洞，建議只使用HTTPS Webhook，并避免通過互聯網向客戶發送SIM卡信息和用戶的個人信息。

5.3

訪問控制配置漏洞

平臺對于敏感數據訪問權限的配置也可能會存在一系列的漏洞，敏感數據如SGSN、IP地址等。主要有以下四種情況：

對受限配置文件中的API用戶可見(即使管理員未授權該用戶權限)。
API手冊指明敏感數據只對管理員可見，但實際沒有實現。
其他參數也可能受到訪問控制錯誤的影響，但未得到驗證。
API文檔和軟件實現之間的差異。

建議在平臺的開發過程中嚴格遵守API文檔的安全需求，并對系統進行全面的安全評估測試。

5.4

腳本注入漏洞

在物聯網服務平臺中，腳本注入發生可能性很高，由于接收的參數被篡改或參數本身就為惡意，且API接受命令和腳本作為對象，如，就可能會導致持續的腳本注入攻擊，注入的值存儲在后端的數據庫中，并有可能被另一個后端進程或用戶管理進程調用。

對于該漏洞，建議每個參數被接受前都進行嚴格的檢測。

5.5

XSS執行漏洞

通過服務平臺的API進行代碼注入，例如，Alias是SIM卡的別名，可以作為用戶的輸入。當API允許腳本和任意的代碼作為輸入時，則可能會導致XSS執行漏洞。

首先攻擊者通過物聯網接入管理平臺，因為Alias參數在兩個平臺間共享，攻擊者可以在web界面上注入惡意腳本，導致惡意代碼執行，通過旁路授權，攻擊者可以將代碼注入到另一個用戶的平臺中并執行惡意代碼。

對于該漏洞，建議類似5.4，對每個收到的參數都進行嚴格的檢測后再予以接受。

六. 總結

本文對BlackHat2022的《Attacks from a New Front Door in 4G & 5G mobile networks》議題進行了解讀，總結如下：

在調查的9個平臺中，只有5個平臺使用了OAuth和TLS。
所調查的9個物聯網平臺中只有2個沒有受到嚴重漏洞和API風險的影響
IMSI暴露在3GPP網絡外，5G中的SUPI可能也會暴露。
大多數平臺缺乏費率限制和嚴格的密碼限制。
內部軟件信息和核心網絡IP地址可能會暴露。
權限管理相關的漏洞可能導致物聯網設備和網絡被破壞。
在許多平臺中發現腳本/代碼注入漏洞，在內部測試時被忽視。
在移動網絡和物聯網網絡中不存在對短信和IP詳細內容的檢查
攻擊者可以通過偽造身份輕松地訪問物聯網服務平臺和API。

最后，安全保證應該從5G和物聯網網絡的設計開始，并存在于服務的整個流程之中。