Un nuevo conjunto de vulnerabilidades en los módems 5G de Qualcomm y MediaTek, denominados colectivamente «5Ghoul», afecta a 710 modelos de teléfonos inteligentes 5G de los socios de Google (Android) y Apple, enrutadores y módems USB.
5Ghoul fue descubierto por investigadores universitarios de Singapur y consta de 14 vulnerabilidades en sistemas de comunicaciones móviles, 10 de las cuales se han divulgado públicamente y cuatro se han ocultado por razones de seguridad.
Los ataques de 5Ghoul van desde interrupciones temporales del servicio hasta degradaciones de la red, que pueden ser más graves desde el punto de vista de la seguridad.
Los investigadores descubrieron las fallas mientras experimentaban con el análisis del firmware del módem 5G e informan que las fallas son fáciles de explotar de forma inalámbrica haciéndose pasar por una estación base 5G legítima.
Esto se aplica incluso cuando los atacantes carecen de información sobre la tarjeta SIM del objetivo, ya que el ataque ocurre antes del paso de autenticación del NAS.
«El atacante no necesita conocer ninguna información secreta del UE objetivo, por ejemplo, los detalles de la tarjeta SIM del UE, para completar el registro de la red NAS», explican los investigadores en su sitio web.
«El atacante sólo necesita hacerse pasar por el gNB legítimo utilizando los parámetros de conexión conocidos de la torre celular (por ejemplo, SSB ARFCN, código de área de seguimiento, ID de celda física, frecuencia del punto A)».
Lo anterior se puede lograr a un costo de unos pocos miles de dólares, utilizando software de código abierto para análisis y fuzzing de red, una mini PC, una radio definida por software (SDR) y equipos diversos como cables, antenas, fuentes de alimentación, etc.
Detalles de la vulnerabilidad de 5Ghoul.
Las diez vulnerabilidades de 5Ghoul que se revelaron públicamente a Qualcomm y MediaTek a partir del 7 de diciembre del 2023 son:
CVE-2023-33043: PDU MAC/RLC no válida que provoca denegación de servicio (DoS) en módems Qualcomm X55/X60. Los atacantes pueden enviar una trama MAC de enlace descendente no válida al UE 5G objetivo desde un gNB malicioso cercano, lo que provoca un bloqueo temporal y un reinicio del módem.
CVE-2023-33044: PDU desconocida del NAS que provoca DoS en los módems Qualcomm X55/X60. Esta vulnerabilidad permite a los atacantes enviar una PDU NAS no válida al UE objetivo, lo que provoca una falla del módem y un reinicio.
CVE-2023-33042: Desactivación de 5G/baja de categoría a través de una configuración de pdcch RRC no válida en módems Qualcomm X55/X60, lo que provoca una degradación o denegación de servicio. Un atacante puede enviar una trama RRC con formato incorrecto durante el procedimiento de conexión de RRC, deshabilitando la conectividad 5G y requiriendo un reinicio manual para la restauración.
CVE-2023-32842: Configuración spCellConfig de RRC no válida que provoca DoS en módems MediaTek Dimensity 900/1200. La vulnerabilidad implica enviar una configuración de conexión RRC con formato incorrecto, lo que provoca una falla del módem y el reinicio de los dispositivos afectados.
CVE-2023-32844: Pucch RRC CSIReportConfig no válido que provoca DoS en módems MediaTek Dimensity 900/1200. Los atacantes pueden enviar una configuración de conexión RRC con formato incorrecto, lo que provoca que el módem falle y se reinicie.
CVE-2023-20702: Secuencia de datos RLC no válida que provoca DoS (desreferencia de puntero nulo) en módems MediaTek Dimensity 900/1200. Un atacante puede aprovechar esto enviando una PDU de estado RLC con formato incorrecto, lo que provoca una falla del módem y un reinicio.
CVE-2023-32846: RRC físicoCellGroupConfig truncado que provoca DoS (desreferencia de puntero nulo) en módems MediaTek Dimensity 900/1200. La configuración de conexión RRC mal formada puede causar errores de acceso a la memoria, lo que provoca una falla del módem.
CVE-2023-32841: SearchSpacesToAddModList de RRC no válido que provoca DoS en los módems MediaTek Dimensity 900/1200. Esto implica enviar una configuración de conexión RRC con formato incorrecto, lo que provoca una falla del módem en los dispositivos afectados.
CVE-2023-32843: Elemento de configuración de enlace ascendente RRC no válido que provoca DoS en módems MediaTek Dimensity 900/1200. El envío de una configuración de conexión RRC con formato incorrecto puede provocar una falla del módem y el reinicio de los dispositivos afectados.
CVE-2023-32845: Elemento de configuración de enlace ascendente RRC nulo que provoca DoS en módems MediaTek Dimensity 900/1200. La configuración de conexión RRC mal formada puede provocar una falla del módem al establecer ciertos campos de carga útil de RRC en nulos.
CVE-2023-33042 es particularmente preocupante porque puede obligar a un dispositivo a desconectarse de una red 5G y volver a recurrir a 4G, exponiéndolo a posibles vulnerabilidades en el dominio 4G que lo exponen a una gama más amplia de ataques.
Las fallas DoS en estas vulnerabilidades hacen que los dispositivos pierdan toda la conectividad hasta que se reinician. Esto no es tan crítico, aunque aún puede tener implicaciones significativas en entornos de misión crítica que dependen del servicio celular.
Es importante tener en cuenta que las fallas reveladas no se limitan a los dispositivos mencionados en la lista anterior.
La identificación de todos los modelos afectados está en curso, pero los investigadores ya han confirmado que 714 teléfonos inteligentes de 24 marcas están afectados.
Algunas marcas vulnerables incluyen teléfonos de POCO, Black, Lenovo, AGM, Google, TCL, Redmi, HTC, Microsoft y Gigaset, con la lista completa en la imagen a continuación.
Respuesta y correcciones del proveedor.
Tanto Qualcomm como MediaTek publicaron boletines de seguridad el lunes para las vulnerabilidades reveladas de 5Ghoul.
Las actualizaciones de seguridad estuvieron disponibles para los proveedores de dispositivos hace dos meses. Aun así, dada la complejidad del suministro de software, especialmente en Android, pasará un tiempo antes de que las correcciones lleguen a los usuarios finales a través de actualizaciones de seguridad.
Inevitablemente, algunos modelos de teléfonos inteligentes y otros dispositivos afectados nunca recibirán las correcciones, ya que probablemente lleguen primero al final del soporte.
Si está demasiado preocupado por las fallas de 5Ghool, la única solución práctica es evitar el uso de 5G por completo hasta que haya soluciones disponibles.
Los signos de un ataque 5Ghoul incluyen la pérdida de conexiones 5G, la imposibilidad de volver a conectarse hasta que se reinicie el dispositivo y una caída constante a 4G a pesar de la disponibilidad de una red 5G en el área.
Fuente y redacción: underc0de.org