Nová chyba 5G vystavuje prioritné siete sledovaniu polohy a iným útokom

Nový výskum architektúry 5G odhalil bezpečnostnú chybu v segmentovaní siete a virtualizovaných sieťových funkciách, ktoré by bolo možné využiť na umožnenie prístupu k údajom a útokov odmietnutia služby medzi rôznymi segmentmi siete v sieti 5G mobilného operátora.

Spoločnosť AdaptiveMobile sa vo februári podelila o svoje zistenia s asociáciou GSM (GSMA). 4, 2021, po ktorom boli nedostatky súhrnne označené ako CVD-2021-0047.

5G je evolúciou súčasnej technológie 4G širokopásmovej mobilnej siete a je založená na tom, čo sa nazýva architektúra založená na službách (SBA), ktorá poskytuje modulárny rámec na nasadenie súboru vzájomne prepojených sieťových funkcií, čo umožňuje spotrebiteľom objaviť a autorizovať ich prístup k množstvo služieb.

Sieťové funkcie sú tiež zodpovedné za registráciu predplatiteľov, správu relácií a profilov predplatiteľov, ukladanie údajov predplatiteľa a pripojenie používateľov (UE alebo používateľského zariadenia) k internetu cez základňovú stanicu (gNB). Navyše, každá sieťová funkcia SBA môže ponúkať konkrétnu službu, ale zároveň môže požiadať o službu z inej sieťovej funkcie.

Jedným zo spôsobov, ako je riadené jadro SBA siete 5G, je model segmentovania. Ako už názov napovedá, myšlienkou je „rozrezať“ pôvodnú sieťovú architektúru na viacero logických a nezávislých virtuálnych sietí, ktoré sú nakonfigurované tak, aby spĺňali špecifický obchodný účel, čo zase určuje požiadavky na kvalitu služieb (QoS), ktoré sú na to potrebné. plátok.

Okrem toho každý segment v základnej sieti pozostáva z logickej skupiny sieťových funkcií (NF), ktoré môžu byť výlučne priradené tomuto segmentu alebo môžu byť zdieľané medzi rôznymi segmentmi.

Inak povedané, vytvorením samostatných častí, ktoré uprednostňujú určité charakteristiky (napr. veľké šírky pásma), umožňuje operátorovi siete vybrať riešenia, ktoré sú prispôsobené konkrétnym odvetviam.

Napríklad segment mobilného širokopásmového pripojenia možno použiť na uľahčenie zábavy a služieb súvisiacich s internetom, segment internetu vecí (IoT) možno použiť na poskytovanie služieb prispôsobených maloobchodu a výrobnému sektoru, zatiaľ čo samostatný segment s nízkou latenciou možno určiť pre kritických potrieb, akými sú zdravotná starostlivosť a infraštruktúra.

„5G SBA ponúka mnoho bezpečnostných funkcií, ktoré zahŕňajú skúsenosti získané z predchádzajúcich generácií sieťových technológií,“ uviedol AdaptiveMobile v bezpečnostnej analýze segmentovania základnej siete 5G. “Ale na druhej strane, 5G SBA je úplne nový koncept siete, ktorý otvára sieť novým partnerom a službám. To všetko vedie k novým bezpečnostným výzvam.”

Podľa firmy zaoberajúcej sa bezpečnosťou mobilných sietí táto architektúra nielenže prináša nové bezpečnostné obavy, ktoré pramenia z potreby podporovať staršie funkcie, ale aj z „masívneho nárastu zložitosti protokolu“ v dôsledku migrácie zo 4G na 5G a v procese otváranie dverí množstvu útokov, vrátane —

  • Škodlivý prístup k segmentu hrubým vynútením jeho diferenciátora segmentov, čo je voliteľná hodnota nastavená prevádzkovateľom siete na rozlíšenie medzi segmentmi rovnakého typu, čím sa umožní podvodnému segmentu získať neoprávnené informácie z druhého segmentu obsahujúceho funkciu riadenia prístupu a mobility ( AMF), ktorý udržiava znalosti o polohe používateľského zariadenia.
  • Denial-of-service (DoS) proti inej sieťovej funkcii využitím kompromitovaného segmentu.

Útoky závisia od dizajnovej zvláštnosti, že neexistujú žiadne kontroly, ktoré by zabezpečili, že identita segmentu v požiadavke signalizačnej vrstvy sa zhoduje s identitou použitou v transportnej vrstve, čo umožňuje protivníkovi pripojenému k SBA operátora 5G prostredníctvom funkcie falošnej siete získať jadrovej siete, ako aj segmentov siete.

Stojí za zmienku, že signalizačná vrstva je aplikačná vrstva špecifická pre telekomunikácie, ktorá sa používa na výmenu signalizačných správ medzi sieťovými funkciami, ktoré sú umiestnené v rôznych segmentoch.

Ako protiopatrenie spoločnosť AdaptiveMobile odporúča rozdeliť sieť do rôznych bezpečnostných zón aplikovaním filtrov zabezpečenia signalizácie medzi rôznymi segmentmi, základnou sieťou a externými partnermi a zdieľanými a nezdieľanými sieťovými funkciami, ako aj nasadením riešenia ochrany signálnej vrstvy na ochranu proti útoky úniku údajov, ktoré využívajú chýbajúcu koreláciu medzi vrstvami.

Aj keď súčasná architektúra 5G nepodporuje takýto ochranný uzol, štúdia navrhuje vylepšenie servera Service Communication Proxy (SCP) na overenie správnosti formátov správ, zosúladenie informácií medzi vrstvami a protokolmi a poskytnutie funkcií súvisiacich so zaťažením, aby sa zabránilo DoS. útokov.

„Tento druh prístupu filtrovania a overovania umožňuje rozdelenie siete do bezpečnostných zón a ochranu základnej siete 5G,“ uviedli vedci. „Krížová korelácia informácií o útokoch medzi týmito funkciami bezpečnostnej siete maximalizuje ochranu pred sofistikovanými útočníkmi a umožňuje lepšie zmiernenie a rýchlejšiu detekciu a zároveň minimalizuje falošné poplachy.“