想像一下物聯網 (IoT) 所主宰的時代,有一家蒸蒸日上、佈滿無數連網裝置的製造業工廠,這些裝置全都連上一個 5G 專網,形成一個錯綜複雜的聯絡網。由於跟外部隔離的關係,這些位於私有 IP 子網域內的 IoT 裝置並不會受到外部威脅所影響。5G 核心網路與後台伺服器基本上都安全地嵌入在雲端內部,這些設備的網路存取受到限制,甚至完全無法連接網路。
那麼,關鍵的問題來了:駭客要如何才能駭入這個看似密不透風的堡壘? 然而,就在這危機四伏的資安挑戰世界,眼前就出現了一個以封包反射形式出現的漏洞,將原本固若金湯的 5G 專網推入險境。
漏洞
這個漏洞存在於「GPRS 通道協定使用者平面」(GPRS Tunneling Protocol User Plane,簡稱 GTP-U),這個平面是基地台與 5G 核心網路的「使用者平面功能」(User Plane Function,簡稱 UPF) 連結的橋樑。令人驚訝的是,這麼關鍵的連結卻未缺乏加密和認證機制,完全無視 GSM Association (GSMA) 的建議,那就是:GTP 通道應該建置 Internet Protocol Security (IPSec) 加密。而它之所以會缺乏這些機制,主要還是延遲和吞吐量的考量。
所以,Trend Micro Research 與合作夥伴才會在 5G 核心網路的 UPF 當中發現了一個令人擔憂的封包反射漏洞,因為封包處理核心的控制平面與資料平面之間並無 IP 交叉核對機制。儘管防火牆和存取控管清單 (ACL) 可提供某種程度的保護,但卻需要經常手動重新設定組態。
此漏洞目前已通報給 Zero Day Initiative (ZDI) 漏洞懸賞計畫,並且在 Common Vulnerability Scoring System (CVSS) 評分系統當中被列為高嚴重性:8.3 分。
企業 5G 專網的架構
企業 5G 專網在部署時有幾種可能的組態,一般來說會包含一個位於邊緣或企業內部的「本地疏導」(Local Breakout, 簡稱 LBO) 單元 ,讓本地端流量保持在專網內。以下是幾種可能的組態:
- 5G 核心網路位於公有雲內,LBO 設置在邊緣。
- 5G 核心網路位於電信業者的機房,LBO 設置在企業內。
- 5G 核心網路位於私有雲或「多接取邊緣運算」(Multi-Access Edge Computing,簡稱 MEC),與 LBO 在一起。
來自 5G 用戶裝置 (UE) 的資料流量會透過基地台與 5G 核心網路之間的 GTP 通道來傳輸。
而問題就出現在 5G 核心網路的使用者平面介面 (N3),由於它通常暴露在雲端,因此為駭客提供了一個潛在的入侵點。正因為它暴露在雲端,駭客就能製作特殊的 GTP 封包,使用私人位址來包裝其攻擊封包,然後發送到 UPF 的 IP 位址。
駭客在攻擊時,可從下行鏈路 (downlink) 或上行鏈路 (uplink) 兩個方向發動,在從下行鏈路發動攻擊的情況中,駭客會製作一個以 UE 的 IP 為目的地、並以一個網際網路 IP 為來源的封包 (來源 IP 可以是駭客自己的 IP 位址,這樣就能建立雙向連線)。接下來,這個封包會被包裝在一個 GTP 封包內,然後發送到 UPF。UPF 將封包轉發給基地台,基地台收到之後會解出裡面的封包,然後傳送給 UE。如此就能在駭客與 UE 之間建立了一個雙向連線。
在從上行鏈路發動攻擊的情況中,駭客會發送一個以 UE 的 IP 位址為來源、並以網際網路 IP 位址為目的地的封包。接下來,這個封包會被包裝在一個 GTP 封包內,然後發送到 UPF。UPF 將封包轉到網際網路伺服器,接著再將它收到的回應,透過 5G 網路回傳給 UE。
為了執行這類攻擊,駭客需要一個有效的「通道端點識別碼」(Tunnel Endpoint Identifier,簡稱 TEID) 並與目標 IP 連結。TEID 的長度為 32 位元,而且可經由暴力方式取得,也就是駭客可以發送大量的 ping 封包給不同的 TEID,直到找到有對應端點的 TEID 為止。
問題的根源
「第三代合作夥伴計劃」(3rd Generation Partnership Project,簡稱 3GPP) 標準並未強迫使用者平面封包之間必須交互認證 (但控制平面則必須),因而造成了一個嚴重的資安漏洞。這個漏洞讓有心的駭客能夠破壞網路的完整性與機密性,而近期一些針對各家廠商 5G 核心網路的測試,也揭露了多個讓該情況更加惡化的漏洞。一個可以改善安全的建議作法就是建置 IPsec, 儘管 IPsec 的成本與擴充性問題讓它遲遲無法普及。
Zero Day Initiative (ZDI) 已經將漏洞通報給相關裝置的廠商,同時也提出了設置額外資安措施的建議,例如架設防火牆和非軍事區 (DMZ)。但很重要的一點是必須知道該漏洞並非一個單純靠修補就能解決的問題,而是需要完整的配套。
5G 專網的封包反射漏洞可說是一項重大資安風險,使得駭客有機會滲透到內部並駭入 IoT 裝置。對那些仰賴隔離式環境來營運的製造業和企業來說,此漏洞尤其令人擔憂,因為他們可能面臨勒索病毒攻擊、資料外洩、關鍵營運中斷,以及服務品質下降等等的嚴重風險。企業必須優先建立一些嚴密的程序和措施來防範這些風險,以便妥善保護自己的網路和資產。
防範風險
近期發現的漏洞突顯出一個無可否認、同時也不容忽視的事實,那就是:駭客可以從網際網路的任何位置毫不費力地入侵一個企業專網。這是一個嚴重的問題,因為駭客一旦成功入侵,就可存取內部的網路和專網上的子網域,進而駭入蜂巢式行動網路中的裝置,這一點非常令人擔憂。
所以,這個漏洞不單只是一項資安風險,而是應該被視為一個可以讓駭客滲透到內部網路、進而攻擊任何連網裝置漏洞的跳板。這對於仰賴隔離式專網來運作的製造業和企業來說,尤其令人擔憂,因為他們或許不會定期套用資安修補更新。對於從Wi-Fi轉移到蜂巢式專網的企業來說,他們很可能會驚訝駭客怎麼有辦法從網際網路駭入企業專網的子網域當中。
眼前的漏洞其實影響非常廣大,所以不應等閒視之。其潛在的風險從勒索病毒攻擊到資料外洩、阻斷服務 (DoS) 攻擊的長時間中斷,甚至是遭到不肖分子滲透到內部而破壞產品的品質。
有鑑於這些潛在風險的嚴重性,企業必須立即採取行動。企業必須建置一些主動措施,包括:完善的資安程序、定期的修補更新、嚴密的入侵偵測系統等等,來解決這項漏洞。無視此漏洞的嚴重性,可能會導致無法挽回的損失,企業恐怕會讓網路基礎架構受到嚴重破壞,並且影響企業名聲。
強化企業防禦
要防範這項迫在眉睫的威脅,企業可以導入一些資安實務來改善資安狀況:
建置 IPsec 以及安全的通道機制
考慮採用 IPsec 或其他安全通道機制來防止大部分的「旁觀者攻擊」(Man-on-the-Side Attack,簡稱 MoTS 攻擊)。儘管加密需要花費各種成本,但為了強化您企業的網路安全,您還是有必要評估是否該導入加密。
外部資安裝置
由於大多數廠商的 5G 核心網路本身並無內建的 IP 交叉檢查機制,因此您可以考慮採用具備這項功能的外部資安裝置來彌補。這類裝置能有效縮小攻擊面而不影響效能。
採用 CTOne 來強化安全
那些目前正在尋找全方位解決方案來強化網路資安的企業可以考慮全球通訊技術資安領導品牌 CTOne 的產品。CTOne 是趨勢科技的一家子公司,專門研究如何提升數位轉型與通訊技術的韌性。
Trend Vision One™ 多層式資安解決方案
面對不斷演進的威脅,採用多層式的資安解決方案絕對非常重要,趨勢科技的 Trend Vision One™ 網路資安平台能讓企業全方位掌握自己的攻擊面。
這套平台能簡化威脅偵測及回應的流程,與工業控制系統 (ICS) 以及 5G 環境無縫銜接。透過曝險評估並自動部署控制措施來減輕風險,Trend Vision One™ 能降低警報量,讓資安團隊可以專注於具有戰略重要性的任務。
想要在網路資安領域隨時掌握先機以保障您未來的安全嗎? 請下載 Trend Micro Research 的完整報告來閱讀前述重大資安漏洞的完整分析與反制策略。