核心漏洞讓攻擊者可以劫持基站

01-26

來自Zimperium的安全研究員發現，BTS基站的三個核心安全問題讓攻擊者能夠危害，劫持，損毀移動基站。

BTS（基礎收發信號台）是行動電話的基站，我們每天都能在小鎮、村莊、丘陵、山上看到。它是移動網路的核心，當我們撥打電話，發送簡訊時，他能夠在數據中心和我們的手機之間轉發數據，將數據包發送到目的地址。BTS基站被廣泛部署，不管移動網路是搭載在GSM,UTMS,還是LTE上。

移動安全公司Zimperium，發現了這個高危漏洞，他們在BTS基站軟體上發現了3個關鍵漏洞。根據Zimperium透露，其他幾個他們沒有測試的相同架構的軟體包可能也有相同的漏洞。

受影響的廠商包括：

Legba Incorporated（YateBTS<=5.0）
Range Network(OpenBTS<=4.0.0 OpenBTS-UMT<=1.0.0)
OsmoCOM(Osmo-TRX<=0.1.10 Osmo-BTS<=0.1.10)

第一個漏洞出現在BTS核心軟體服務上，它將基站設備暴露給外網，允許攻擊者通過網路訪問基站。

攻擊者可以發送UDP報文到這些管理埠（5700，5701），然後利用設備的內置特性。這讓攻擊者能夠遠程控制BTS基站，修改GSM流量，從傳輸數據中提取信息，摧毀基站，甚至更糟糕。

在下面這個例子中，Zimperium建議公司將埠綁定到本地（127.0.0.1），或者部署防火牆來阻斷外部流量。

第二個漏洞是通過UDP報文可以構造內存緩衝區溢出。這是典型的遠程代碼執行漏洞，攻擊者能夠在設備上運行惡意代碼。如果該漏洞被高水平的攻擊者利用，後果將會更加嚴重。

第三個漏洞與第一個有關。如果攻擊者能夠發送自定義的UDB流量到BTS基站，由於控制通道特性沒有認證，攻擊者能夠在BTS基站的收發模塊執行命令。收發模塊是BTS基站的主要組件，他在BTS核心軟體和天線之間收發數據。這個漏洞允許攻擊者遠程控制收發模塊而不需要任何管理員憑證。

Zimperium說攻擊者能夠通過這個信道關閉BTS，讓流量變得擁擠，改變BTS標識，將BTS從移動網路移除，或者偽裝成其他基站，進行中間人攻擊。

Range Networks分別在7月6日和13日發布了兩個漏洞的補丁，另一個漏洞在5月6日就已經修復了。

註：本文參考來源於softpedia