כשל בתשתית LTE מאפשר לתוקף להתחזות למשתמש ברשת הסלולרית

חוקרים גרמניים מצאו כשל במנגנון הניתוב של רשת הLTE המאפשר לתוקף להתחזות למנוי ברשת. הכשל דווח במאי שנה שעברה לארגון GSMA שגם הוציא התראות לספקי סלולר בעולם אודותיו, כולל המלצות מימוש הגנה

כשל בתשתית LTE מאפשר לתוקף להתחזות למשתמש ברשת הסלולרית

bigstockphoto

חוקרים באוניברסיטת Horst Goertz Institute for IT Security בגרמניה פרסמו מחקר בו הם מצאו כיצד ניתן להשתמש בכשל ברשת LTE המאפשר לתוקף להתחזות למשתמש לכיוון הרשת ולהפך. התקפת IMP4GT (התקפות התחזות ברשתות דור 4) מנצלות את ההגנה החסרה על מנגנון "הגנה על שלמות" (integrity protection ) הפועל באלמנטים רשתיים, ומאריכות אותה באמצעות מנגנון התקפה בשכבה שלוש המאפשר לתוקף להתחזות למשתמש כלפי הרשת ולהיפך. ההתקפה מבוססת על מניפולציה של פרוטוקול הPDCP.

"אנו עורכים שתי גרסאות של מתקפת IMP4GT ברשת מסחרית מבוססת LTE ומדגימים כיצד הן שוברות לחלוטין את האימות ההדדי של המשתמש בLTE ורשתות 5G מוקדמות", כותבים החוקרים. המתקפה מצאה פגם בפרוטוקול האימות ההדדי Authentication and Key Agreement. "הגנה על שלמות שומרת תכנית הניתוב באלמנט הרשת ומאבטחת את התקשורת מפני מניפולציות. עם זאת, הגנה חסרה על תכנית הניתוב של המשתמש מאפשרת לתוקף לתמרן ולהפנות חבילות IP, כפי שהודגם לאחרונה", מסבירים החוקרים.

"בעבודה זו אנו מציגים מתקפה רוחבית שכבתית שמנצלת את הפגיעות הקיימת בשכבה שנייה ומרחיבה אותה עם מנגנון התקפה בשכבה שלוש. ליתר דיוק, אנו מנצלים את התנהגות ברירת המחדל של פרוטוקול ה- IP במערכות ההפעלה ומראים ששילוב זה מאפשר לתוקף פעיל להתחזות למשתמש כלפי הרשת ולהפך. תוצאות עבודתנו מרמזות כי ספקים אינם יכולים להסתמך עוד על אימות הדדי לחיוב, בקרת גישה והעמדה לדין משפטי. בנוסף, המשתמשים נחשפים לכל חיבור IP נכנס היות והתוקף יכול לעקוף את חומת האש של הספק."

כדי להדגים את ההשפעה המעשית של ההתקפה, החוקרים ביצעו שתי גרסאות התקפה של IMP4GT ברשת מסחרית, אשר --- לראשונה --- שוברות לחלוטין את האימות ההדדי של רשת הLTE בסביבה בעולם האמיתי.

הכשל דווח לארגון GSMA שגם הוציא התראות לספקי סלולר בעולם אודותיו, כולל המלצות מימוש הגנה. "מתקפת 'אדם-באמצע' בממשק הרדיו יכולה לבצע התקפת plaintext נגד ניתוב המשתמש ולהחליף את תוכן מסגרת ה- PDCP בחבילות ה- IP של התוקף עצמו, ובכך להתחזות לקורבן בערוץ העולה, או להתחזות כשרת TCP שרירותי לכיוון המשתמש (UE) בערוץ היורד", כותבים בהסבר של הGSMA.

"התוקפים משתמשים בתגובות להודעות ICMP על מנת להגיע למידע אודות הפניות פנימיות ברשת LTE הכלול בתגובות להודעות Destination Unreachable של פרוטוקול ICMP. גם אם הודעות אלו נחסמות בחומת האש של ספק רשת הLTE, התוקף יכול לבצע מניפולציה בהודעה שתעקוף את חומת האש. החוקרים הראו כי מרבית ספקי הסלולר מאפשרים מעבר הודעות ICMP Echo בחומת האש.

"אחד הפתרונות הוא שימוש בפרוטוקול DNS over TLS ברשת הסלולרית או שינוי הגדרות השיקוף של פרוטוקול הIP מצד מכשיר הקצה של המשתמש כלפי הרשת. בכל מקרה, טוענים החוקרים, יישום פתרונות אלו ברשת אינו פשוט, והם ממליצים על יישום מלא של מנגנון הגנה על שלמות."

אולי יעניין אותך גם