以色列移动安全公司Zimperium的安全研究人员发现,基站发信台(BTS)存在三个严重的漏洞,恐遭攻击者挟持、破坏。
BTS是描述蜂窝手机信号塔的技术术语,我们在城市、农村、田野、丘陵和山脉都可以看到。
BTS是移动网络的主要基础设施,用来将我们的电话、短信、数据包转发到移动运营商的数据中心,随后移动运营商再将电话、短信传输到目的地,将数据包通过互联网传输到相应服务器。
不管底层的移动网络使用的是GSM、UTMS或者LTE技术,BTS站都被普遍部署。
漏洞影响多个供应商的多款产品
移动安全公司Zimperium曾发现过Stagefright漏洞,称运行在BTS站的多个软件包存在3个严重漏洞。
其他没有被测试的软件包也可能受漏洞的影响,因为这些软件包的运行方式以及结构相似。
受影响的供应商和软件包括有:Legba Incorporated (YateBTS <= 5.0.0)、RangeNetworks (OpenBTS <= 4.0.0 and OpenBTS-UMTS <= 1.0.0)、 OsmoCOM (Osmo-TRX <= 0.1.10 and Osmo-BTS <= 0.1.10)。
目前移动运营商和BTS软件供应商需要解决设备中的3个问题。
漏洞会导致攻击者接管BTS站
第一个漏洞会将设备暴露给外部连接,允许攻击者通过互联网到达BTS站的核心收发器。
随后攻击者可以发送UDP包给特定的管理端口(5700, 5701, 5701)。攻击者随即可以远程操控BTS站,修改GSM流量、从传递数据中提取信息、将BTS站弄崩溃或者更糟。
Zimperium公司建议将用于控制和数据交换的包仅绑定到本地接口,或者部署防火墙来阻止外部流量。
第二个漏洞是由过大的UDP数据包造成的内存缓冲区溢出。这是一个典型的远程代码执行漏洞(RCE),攻击者能够在设备上运行恶意代码。危险程度由攻击者的技术水平决定。
第三个漏洞与第一个相关。如果攻击者能够发送自定义的UDP数据到BTS站,由于控制信道不需要认证,攻击者在BTS站的收发器模块运行指令。收发器是BTS站的主要硬件设备,接收和发送无线电天线和BTS核心软件之间的数据。
这个特殊漏洞能够让攻击者远程控制收发器模块,而无需输入任何管理凭证。
Zimperium表示攻击者可以通过控制信道将BTS关闭、修改无线电频率、改变BTS身份、从移动运营商的网络中移除BTS或者在同一网络中使其表现得像另一个BTS站、进行MITM(中间人)攻击。
所有受影响的供应商已经推出补丁,但是Range 网络只在7月6日和7月13日修复了前两个漏洞。