Um novo conjunto de vulnerabilidades em modems 5G da Qualcomm e MediaTek, coletivamente chamado de "5Ghoul", afeta 710 modelos de smartphones 5G de parceiros do Google (Android) e da Apple, roteadores e modems USB.
O 5Ghoul foi descoberto por pesquisadores universitários de Singapura e consiste em 14 vulnerabilidades nos sistemas de comunicação móvel, 10 das quais foram divulgadas publicamente e quatro retidas por razões de segurança.
Os ataques 5Ghoul variam desde interrupções temporárias de serviço até rebaixamentos de rede, que podem ser mais graves do ponto de vista de segurança.
Os pesquisadores descobriram as falhas enquanto experimentavam a análise de firmware de modem 5G e relatam que as falhas são fáceis de explorar over-the-air, se passando por uma estação base 5G legítima.
Isso se aplica mesmo quando os invasores não têm informações sobre o cartão SIM do alvo, pois o ataque ocorre antes da etapa de autenticação NAS.
"O invasor não precisa estar ciente de nenhuma informação secreta do UE alvo, por exemplo, detalhes do cartão SIM do UE, para completar o registro de rede NAS", explicam os pesquisadores em seu site.
"O invasor só precisa se passar pelo gNB legítimo usando os conhecidos parâmetros de conexão da torre de celular (por exemplo, SSB ARFCN, Código da Área de Rastreamento, ID Física da Cela, Frequência do Ponto A)".
O acima é alcançável ao custo de alguns milhares de dólares, usando software de código aberto para análise de rede e fuzzing, um mini PC, um rádio definido por software (SDR) e equipamentos diversos como cabos, antenas, fontes de alimentação, etc.
As dez vulnerabilidades 5Ghoul que foram divulgadas publicamente para Qualcomm e MediaTek a partir de 7 de dezembro de 2023 são:
CVE-2023-33043
: MAC/RLC PDU inválido causando negação de serviço (DoS) em modems Qualcomm X55/X60.
Os invasores podem enviar um quadro MAC de downlink inválido para o UE 5G alvo de um gNB malicioso próximo, levando a uma suspensão temporária e reinicialização do modem.
CVE-2023-33044
: NAS Unknown PDU causando DoS em modems Qualcomm X55/X60.
Esta vulnerabilidade permite que os invasores enviem um NAS PDU inválido para o UE alvo, resultando em falha do modem e reinicialização.
CVE-2023-33042
: Desativando 5G/Rebaixamento via Invalid RRC pdcch-Config em modems Qualcomm X55/X60, levando à desativação ou negação de serviço.
Um invasor pode enviar um quadro RRC corrompido durante o Procedimento de conexão RRC, desativando a conectividade 5G e requerendo uma reinicialização manual para restauração.
CVE-2023-32842
: RRC Setup inválido de spCellConfig causando DoS em modems MediaTek Dimensity 900/1200.
A vulnerabilidade envolve o envio de uma conexão RRC corrompida, levando à falha do modem e reinicialização nos dispositivos afetados.
CVE-2023-32844
: RRC pucch CSIReportConfig inválido causando DoS em modems MediaTek Dimensity 900/1200.
Os invasores podem enviar uma conexão RRC corrompida, fazendo com que o modem falhe e reinicie.
CVE-2023-20702
: Sequência de dados RLC inválida causando DoS (falha de ponteiro nulo) em modems MediaTek Dimensity 900/1200.
Um invasor pode explorar isso enviando um PDU de status RLC corrompido, levando a uma falha do modem e reinicialização.
CVE-2023-32846
: Configuração física de células RRC truncada causando DoS (referência nula de ponteiro) em modems MediaTek Dimensity 900/1200.
Conexão RRC corrompida pode causar erros de acesso à memória, levando a uma falha do modem.
CVE-2023-32841
: RRC searchSpacesToAddModList inválido causando DoS em modems MediaTek Dimensity 900/1200.
Isso envolve o envio de uma conexão RRC corrompida, causando uma falha do modem nos dispositivos afetados.
CVE-2023-32843
: RRC Uplink Config Element inválido causando DoS em modems MediaTek Dimensity 900/1200.
O envio de uma conexão RRC corrompida pode resultar em falha do modem e reinicialização nos dispositivos afetados.
CVE-2023-32845
: RRC Uplink Config Element nulo causando DoS em modems MediaTek Dimensity 900/1200.
A configuração de conexão RRC corrompida pode desencadear uma falha do modem definindo certos campos de carga útil RRC para nulo.
CVE-2023-33042
é especialmente preocupante porque pode forçar um dispositivo a se desconectar de uma rede 5G e voltar para 4G, expondo-o a possíveis vulnerabilidades no domínio 4G que o expõem a uma gama mais ampla de ataques.
As falhas DoS nessas vulnerabilidades fazem com que os dispositivos percam toda a conectividade até que sejam reinicializados.
Isso não é tão crítico, embora ainda possa ter implicações significativas em ambientes de missão crítica que dependem do serviço celular.
É importante notar que as falhas divulgadas não se limitam aos dispositivos mencionados na lista acima.
A identificação de todos os modelos impactados está em andamento, mas os pesquisadores já confirmaram que 714 smartphones de 24 marcas são impactados.
Algumas marcas vulneráveis incluem telefones da POCO, Black, Lenovo, AGM, Google, TCL, Redmi, HTC, Microsoft e Gigaset, com a lista completa na imagem abaixo.
Para saber mais sobre as falhas do 5Ghoul, seu potencial de exploração e ramificações, e informações técnicas podem ser encontradas no relatório dos pesquisadores.
Um kit de exploração de prova de conceito (PoC) também pode ser encontrado em seu repositório do GitHub.
Tanto a Qualcomm quanto a MediaTek lançaram boletins de segurança na segunda-feira para as vulnerabilidades 5Ghoul divulgadas,
As atualizações de segurança foram disponibilizadas para os fabricantes de dispositivos dois meses atrás.
No entanto, devido à complexidade do fornecimeto de software, especialmente no Android, ainda levará um tempo até que as correções cheguem aos usuários finais por meio de atualizações de segurança.
Inevitavelmente, alguns modelos de smartphones impactados e outros dispositivos nunca receberão as correções, pois provavelmente chegarão ao fim do suporte primeiro.
Se você está excessivamente preocupado com as falhas 5Ghool, a única solução prática é evitar o uso do 5G completamente até que as correções estejam disponíveis.
Os sinais de um ataque 5Ghoul incluem perda de conexões 5G, incapacidade de se reconectar até que o dispositivo seja reinicializado e queda consistente para 4G, apesar da disponibilidade de uma rede 5G na área.
Publicidade
A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo.
Saiba mais...