來自新加坡技術設計大學和A*STAR的研究人員發現了搭載高通和聯發科芯片5G設備的14個安全漏洞——“5Ghoul”。5Ghoul攻擊可以引發服務暫時中斷和網絡降級，影響710款安卓、蘋果5G智能手機，以及路由器和USB調制解調器。

5Ghoul漏洞

5Ghoul是一個包含14個安全漏洞的漏洞合集，其中包括10個公開的安全漏洞以及4個暫未公開的漏洞。

·CVE-2023-33043:引發高通X55/X60調制解調器拒絕服務的無效MAC/RLC PDU（協議數據單元）。攻擊者可以發送無效的下行鏈路MAC幀給目標5G用戶終端，引發臨時暫停服務和調制解調器重啟。

·CVE-2023-33044: 引發高通NASX55/X60調制解調器拒絕服務的未知PDU。攻擊者利用該漏洞可以發送無效的NAS PDU給目標用戶設備，引發調制解調器失效或重啟。

·CVE-2023-33042:通過無效的RRC pdcch-Config禁用高通X55/X60調制解調器來禁用5G或實現網絡降級，引發網絡降級或拒絕服務。攻擊者在RRC Attach Procedure過程中可以發送偽造的RRC幀來禁用5G 連接并要求重啟。

·CVE-2023-32842:通過無效的RRC Setup spCellConfig引發聯發科Dimensity 900/1200調制解調器拒接服務。利用該漏洞需要發送偽造的RRC Connection Setup，引發受影響的調制解調器設備失效或重啟。

·CVE-2023-32844:通過無效的RRC pucch CSIReportConfig引發聯發科Dimensity 900/1200調制解調器拒接服務。攻擊者可以發送偽造的RRC Connection Setup引發調制解調器設備失效或重啟。

·CVE-2023-20702:通過無效的RLC Data Sequence引發聯發科Dimensity 900/1200調制解調器拒接服務。攻擊者可以通過發送偽造的RLC Status PDU來利用該考漏洞，引發調制解調器奔潰或重啟。

·CVE-2023-32846:通過縮減的RRC physicalCellGroupConfig引發聯發科Dimensity 900/1200調制解調器拒接服務。構造的RRC Connection Setup可導致內存訪問錯誤，引發調制解調器奔潰。

·CVE-2023-32841:無效的RRC searchSpacesToAddModList引發聯發科Dimensity 900/1200調制解調器拒接服務。攻擊者需要發送偽造的RRC Connection Setup，使得受影響的設備奔潰。

·CVE-2023-32843:無效的RRC Uplink Config Element引發聯發科Dimensity 900/1200調制解調器拒接服務。攻擊者要利用該漏洞需要發送偽造的RRC Connection Setup，引發受影響的設備失效或重啟。

·CVE-2023-32845: 空RRC Uplink Config Element引發聯發科Dimensity 900/1200調制解調器拒接服務。攻擊者可以設置特定RRC payload字段為空以使調制解調器奔潰。

·CVE-2023-33042：該漏洞可以使設備與5G網絡斷開，回到4G，因此受到4G相關的攻擊的影響。

5Ghoul攻擊概述

圖 5Ghoul攻擊概述

攻擊者利用以上漏洞發起5Ghoul攻擊可以使用開源的網絡分析和測試工具、臺式機、軟件定義無線電、天線、電源等設備，總成本約幾千美元。

圖測試環境搭建

在攻擊過程中，攻擊者無需了解任何目標用戶設備的秘密信息就可以完成NAS網絡注冊，比如SIM卡信息。攻擊者只需要使用已知的基站連接參數就可以偽裝為合法的gNB（下一代基站）。

圖 5G降級為4G攻擊

研究人員在GitHub上公開了PoC漏洞利用套件，下載地址：https://github.com/asset-group/5ghoul-5g-nr-attacks

研究人員確認24個品牌的714款智能手機受到以上漏洞的影響，其中包括聯想、谷歌、TCL、微軟等，但受影響的設備并不止于此。

圖受影響的設備廠商分布

更多關于5Ghoul漏洞和攻擊的技術細節以及修復建議參見：https://asset-group.github.io/disclosures/5ghoul/。

參考及來源：https://www.bleepingcomputer.com/news/security/new-5ghoul-attack-impacts-5g-phones-with-qualcomm-mediatek-chips/