软基站高级利用:Blackhat USA 2021上Pwn基带的议题

一 Pwn三星Shannon 5G基带

腾讯科恩实验室 基带利用:远程5G智能手机代码执行 | Over The Air Baseband Exploit: Gaining Remote Code Execution on 5G Smartphones

解读:https://keenlab.tencent.com/zh/2021/08/06/BlackHatUSA2021-over-the-air-baseband/

白皮书:https://keenlab.tencent.com/zh/whitepapers/us-21-Over-The-Air-Baseband-Exploit-Gaining-Remote-Code-Execution-on-5G-Smartphones-wp.pdf

RCE漏洞在Shannon基带的IMS模块,基带在解析SIP协议消息的XML内容时,它会调用函数IMSPL_XmlGetNextTagName,该函数通过跳过特殊字符来查找标签的结尾,而没有安全检查,通过溢出缓冲区,控制存储在栈上的返回地址,并获得代码执行。

通过Kamailio自建IMS核心网、SRSRAN+USRP+Osmocom sim card实现蜂窝网络模拟实验环境,UE终端注册并订阅到SIP服务器,服务器将发送NOTIFY消息以提供网络中的基本信息,在NOTIFY消息中夹带XML格式的漏洞利用payload。

二 Pwn华为麒麟芯片基带

西班牙TASZK安全实验室 How To Tame Your Unicorn Exploring And Exploiting Zero-Click Remote Interfaces of Huawei Smartphones | 零点击交互远程破解华为智能手机

白皮书:https://i.blackhat.com/USA21/Wednesday-Handouts/US-21-Komaromy-How-To-Tame-Your-Unicorn-wp.pdf

PPT:https://i.blackhat.com/USA21/Wednesday-Handouts/US-21-Komaromy-How-To-Tame-Your-Unicorn.pdf

华为公开了搭载麒麟980、970设备的内核源码,西班牙TASZK安全实验室通过源代码审计在GSM信令消息编码解码的语法CSN.1上发现了内存越界漏洞

通过Osmocom2G基站以及OsmoMSC发送Payload利用代码去触发相关漏洞:

碎碎念

通过空中接口无接触Pwn基带,非常考验综合实力,相关方面涉及通信(2G 3G 4G 5G等蜂窝网络技术以及3GPP协议标准) 二进制逆向(固件提取、解密、漏洞利用)等。而且对相关方面要求特别高,个人感觉没有长期的技术积累、团队协作,靠一个人单打独斗很难实现

发表评论

Please log in using one of these methods to post your comment:

WordPress.com 徽标

您正在使用您的 WordPress.com 账号评论。 注销 /  更改 )

Google photo

您正在使用您的 Google 账号评论。 注销 /  更改 )

Twitter picture

您正在使用您的 Twitter 账号评论。 注销 /  更改 )

Facebook photo

您正在使用您的 Facebook 账号评论。 注销 /  更改 )

Connecting to %s