概述

近期，研究人员发现，来自手机等蜂窝设备的特制数据包可以利用5G核心中的故障状态机来对蜂窝基础设施执行安全渗透测试。很多职能机构和关键行业中的企业都会使用各种各样的联网设备，而这些机构的工作效率和生产率很大程度上依赖于5G网络的安全传输。

在这篇文章中，我们将讨论漏洞CXVE-2021-45462，以及该漏洞讲给专用5G网络所带来的安全风险，其中还会涵盖相关的DoS攻击风险分析。

背景信息

5G技术解锁了很多传统无线连接无法实现的应用场景，不仅可以帮助广大企业加速数字化转型、降低经营成本，而且还可以最大程度地提高生产力，以实现投资回报最大化。为了实现这一目标，5G需要依赖于以下几个关键服务类型实现其功能：大规模机器类型通信（mMTC）、增强型移动宽带（eMBB）和超可靠低延迟通信（uRLLC）。

随着5G技术的不断发展，商用频谱的不断扩充，5G专网的使用率和普及度也在不断提高。制造、国防、港口、能源、物流和采矿业是5G专用网络的最早使用者之一，尤其是那些依赖于IoT物联网来实现生产系统和供应链的数字化企业。与公共电网的不同之处在于，私有 5G 中的蜂窝基础设施设备可能由用户企业本身、系统集成商或运营商拥有和运营。然而，对使用 5G 开发各种技术的研究和探索不断增多，也导致了网络威胁行为者也开始寻求针对5G通信和基础设施的攻击技术。

5G拓扑

在端到端的 5G 蜂窝系统中，用户设备（又名UE，例如移动电话或IoT]物联网设备）可以通过无线电连接到基站。随后基站将通过有线IP网络连接到5G核心网。

从功能上来看，5G核心可以分为两部分，即控制平面（Control Plane）和用户平面（User Plane）。在网络中，控制平面负责承载信号并根据信号将数据流量从一个端点转发到另一端点。与此同时，用户平面则负责连接和处理来自无线区域网（RAN）的用户数据。

基站负责发送与设备连接相关的控制信号，并通过NGAP（下一代应用协议）建立与控制平面的连接。而来自设备的用户流量则使用 GTP-U（GPRS 隧道协议用户平面）发送到用户平面，随后数据流量将从用户平面路由到外部网络。

下图显示的是5G网络基础设施的基本架构：

UE子网和基础网络相互独立且隔离，同时不允许用户设备访问基础设施组件，这种隔离机制可以保护5G核心免受用户设备生成的CT（蜂窝技术）协议攻击。

但这种隔离机制真的能保护5G核心的安全码？接下来，我们一起分析网络威胁行为者如何利用5G基础设施中的组件来实施攻击。

GTP-U

GTP-U是存在于基站和5G用户平面之间的隧道协议，该协议使用2152端口，下面给出的是GTP-U封装的用户数据包结构：

通过将一个Header附加到原始数据包后即可创建一个GTP-U隧道数据包，添加的Header则由一个UDP传输Header和GTP-U Header组成。其中，GTP-U Header由以下字段组成：

1、标记：包含版本和其他信息；

2、消息类型：对于携带用户数据的GTP-U报文，消息类型为0xFF；

3、长度：隧道端点标识符 (TEID) 字段之后所有内容的长度（以字节为单位）；

4、TEID：隧道的唯一值，可以将隧道映射到用户设备；

GTP-U Header由 GTP-U 节点负责添加，用户无法在设备的用户接口上查看到Header内容，因此无法直接操作Header字段。

尽管GTP-U是一种标准隧道技术，但其使用场景主要在基站和UPF之间或UPF之间的CT环境。假设基站和 UPF 之间的信号隧道是加密的，受防火墙保护，并且禁止外部访问。

在理想情况下，GSMA建议基站和 UPF 之间采用IPsec实现通信。此时，前往 GTP-U 节点的数据包就只会来自授权设备。如果这些设备能够遵循规范，那么它们都不会发送异常数据包。但实际还是要具体情况具体分析了。一般来说，运营商并不愿意在N3接口上部署IPsec，因为它是CPU密集型方案，会降低用户流量的吞吐量。此外，由于用户数据通常被认为应该在应用层实施保护（使用 TLS 或传输层安全等附加协议），因此一些研究人员会认为IPsec安全是多余的。而且有些人可能还认为所有强大的系统都需要安全健壮性检查以发现任何明显的异常情况。然而根据我们的研究，世界各地许多本不应该暴露在互联网上的 N3 节点（例如 UPF）却都暴露在了互联网上。

下图显示的是由于配置错误或缺少防火墙而暴露的 UPF 接口统计数据（来自Shodan）：

GTP-U节点：基站和UPF

GTP-U节点是封装和解封GTP-U数据包的端点，基站则是用户设备端的GTP-U节点。当基站从UE接收到用户数据时，它将数据转换为IP数据包并将其封装到GTP-U隧道中。

UPF是5G核心网（5GC）侧的GTP-U节点，当UPF收到来自基站的GTP-U报文时，UPF会解封外层GTP-U报头并取出内层报文。随后，UPF会在路由表（也由 UPF 维护）中查找目标 IP 地址，此时不会检查内部数据包的内容，然后继续发送数据包。

GTP-U in GTP-U攻击

如果用户设备制作如下所示的异常 GTP-U 数据包，并将其发送到分组核心，会发生什么？

下图显示的是从用户设备发送异常 GTP-U 数据包的流程图：

按照预期，基站将在其 GTP-U 隧道内传输此数据包并将其发送到 UPF，结果就是GTP-U 数据包中的 GTP-U 到达 UPF。UPF 中现在有两个 GTP-U 数据包：外部 GTP-U 数据包Header由基站创建，用于封装来自用户设备的数据包。该外部 GTP-U 数据包的消息类型为0xFF，长度为 44，这是一个正常的Header。另一个内部GTP-U Header则由用户设备制作并作为数据包发送。与外部 GTP-U 一样，内部 GTP-U 的消息类型为0xFF，但长度为 0 ，这就不对劲了。

此时，内部数据包的源IP地址属于用户设备，外部数据包的源IP地址属于基站。内部和外部数据包具有相同的目标 IP 地址，即UPF 的目标 IP 地址。

UPF 解封外部 GTP-U 并通过功能检查，内部GTP-U 数据包的目的地再次是相同的 UPF。接下来就会发生下面的事情：

1、实现让状态机持续进行数据包遍历，而状态机的实现一旦出现错误，可能会导致其去处理此内部 GTP-U 数据包。该数据包可能已经通过了检查阶段，因为它与外部数据包共享相同的数据包上下文。最终将导致系统内部出现异常数据包，从而无法通过安全健壮性检查。

2、由于内部数据包的目的地是 UPF 本身的 IP 地址，因此数据包可能会发送到 UPF。在这种情况下，数据包可能会遇到功能检查。

攻击向量

一些5G核心网供应商会选择使用Open5GS代码，例如NextEPC（一个4G系统，于 2019 年更名为Open5GS，以增加5G功能）拥有针对 LTE/5G 的企业产品，该产品基于 Open5GS 的代码实现。但研究人员尚未观察到在野攻击或威胁迹象，但我们的测试表明使用该技术已存在潜在风险。

安全测试最关键的部分在于攻击向量，即来自 UE 的蜂窝基础设施攻击。本文所述的安全问题，网络威胁行为者只需要使用一部手机（或通过蜂窝适配器连接的计算机）和几行 Python 代码即可滥用该漏洞并发起此类攻击。GTP-U in GTP-U攻击是一种众所周知的 技术，回程 IP 安全和加密并不能阻止这种攻击。实际上，这些安全措施甚至还可能会妨碍防火墙去对数据包内容执行安全检查。

缓解方案&总结

医疗和公用事业等关键行业只是私有5G系统的早期采用者之一，其普及的广度和深度预计只会进一步增长。系统连续不间断地可靠运行对于这些行业至关重要，因为这可能关系到生命和现实世界的影响。因此，5G 系统必须提供可靠的连接，因为对任何 5G 基础设施的成功攻击都可能导致整个网络瘫痪。

本文所介绍的漏洞场景（CVE-2021-45462）一旦被威胁行为者成功利用，则有可能导致DoS攻击发生。CVE-2021-45462（以及大多数 GTP-U-in-GTP-U 攻击）的根本原因是分组核心中错误检查和错误处理不当所导致的。虽然 GTP-U-in-GTP-U 本身是无害的，但厂商必须要进行适当的修复以缓解该威胁风险。

除此之外，GTP-U-in-GTP-U 攻击还可用于泄露敏感信息，例如基础设施节点的 IP 地址。因此，GTP-U 对等节点应安全且恰当地处理 GTP-U-in-GTP-U 数据包。在 CT 环境中，他们应该使用可以理解 CT 协议的入侵防御系统 (IPS) 或防火墙。由于 GTP-U 不是正常的用户流量，尤其是在5G专用网络中，安全团队甚至可以优先考虑并丢弃 GTP-U-in-GTP-U 流量。

一般来说，SIM卡的注册和使用必须受到严格的规范和管理。拥有被盗 SIM 卡的攻击者可以将其插入攻击者的设备以连接到网络，这也给安全运营带来了更加艰巨的任务。

参考资料

https://www.trendmicro.com/en_gb/ciso/22/i/pros-cons-5g.html

https://www.gsma.com/

https://www.gsma.com/security/wp-content/uploads/2020/02/FS.31-v2.0.pdf

https://open5gs.org/

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-45462

https://nextepc.com/

https://www.gsma.com/membership/wp-content/uploads/2017/09/Positive-Technologies-White-Paper.pdf

https://docs.paloaltonetworks.com/service-providers/11-0/mobile-network-infrastructure-getting-started/gtp/gtp-get-pcap-gtp-event

https://www.trendmicro.com/en_gb/business/products/iot/mobile-network-security.html

参考来源

https://www.trendmicro.com/en_gb/research/23/i/attacks-on-5g-infrastructure-from-users-devices.html