Maggior parte dei modem USB 4G, schede SIM sfruttabili

Jan 21, 2024

Condividi questo articolo:

I ricercatori hanno presentato alla conferenza del Chaos Computer Club di Amburgo uno studio sul pessimo stato della sicurezza nei modem USB 4G.

I ricercatori affermano che i modem USB 4G contengono vulnerabilità sfruttabili attraverso le quali gli aggressori potrebbero, e i ricercatori sono riusciti, a ottenere il pieno controllo delle macchine a cui sono collegati i dispositivi.

I ricercatori di Positive Technologies hanno presentato un briefing che descrive in dettaglio come compromettere i modem USB e attaccare le carte SIM tramite SMS su reti 4G alle conferenze PacSec e Chaos Computer Club rispettivamente a Tokyo e Amburgo lo scorso mese.

Oltre a consentire l’accesso completo alla macchina, l’attacco al modem 4G ha anche consentito l’accesso agli account degli abbonati sui portali degli operatori rilevanti. Inviando un SMS binario, i ricercatori sono riusciti a bloccare le carte SIM e ad annusare e decrittografare il traffico del dispositivo. La ricerca è stata condotta da un team di Positive Technologies composto da Sergey Gordeychik, Alexander Zaitsev, Kirill Nesterov, Alexey Osipov, Timur Yunusov, Dmitry Sklyarov, Gleb Gritsai, Dmitry Kurbatov, Sergey Puzankov e Pavel Novikov.

Dei sei modem USB testati con 30 installazioni firmware separate, i ricercatori hanno scoperto che solo tre varietà di firmware erano resistenti ai loro attacchi.

Sono riusciti a trovare credenziali di accesso telnet disponibili pubblicamente tramite Google, ma avevano bisogno dell'accesso http per monitorare le comunicazioni. Dopo aver collegato i modem USB alle macchine e aver elencato i dispositivi come nodi distinti con applicazioni web, i ricercatori sono stati in grado di lanciare attacchi di falsificazione di richieste cross-site basati su browser, scripting cross-site ed esecuzione di codice remoto. Attraverso questi attacchi, i ricercatori hanno ottenuto informazioni riguardanti identità internazionali di abbonati di telefonia mobile, schede di circuiti integrati universali, identità di apparecchiature di stazioni mobili internazionali e versioni di software, nomi di dispositivi, versioni di firmware, stati Wi-Fi e altro (vedi immagine a destra).

Informazioni sul dispositivo rubato

Oltre alle informazioni, i ricercatori hanno costretto i modem a modificare le impostazioni DNS per annusare il traffico, modificare le impostazioni del centro SMS per intercettare e interferire con la messaggistica SMS, cambiare password sui portali self-service, bloccare i modem inserendo deliberatamente PIN o codici PUK e aggiornamento remoto del firmware del modem alle versioni vulnerabili.

I ricercatori hanno notato in un post sul blog che l’impatto dei loro metodi di attacco non si limita ai consumatori che utilizzano gli smartphone interessati. Un gran numero di installazioni di infrastrutture critiche, compresi i sistemi di controllo industriale (ICS) e le macchine di controllo di supervisione e acquisizione dati (SCADA), utilizzano la tecnologia di comunicazione mobile basata in gran parte o almeno in parte sullo standard GSM. Alcuni bancomat utilizzano anche queste tecnologie modem USB per trasmettere in remoto i dati di pagamento.

Il loro attacco alla SIM è stato leggermente meno efficace, essendo riuscito a sfruttare solo il 20% circa delle 100 carte SIM testate. In effetti, questi attacchi dipendevano più o meno dalla capacità dei ricercatori di forzare o meno le chiavi DES (Data Encryption Standard) che proteggevano le SIM. Le chiavi 3DES impiegano molto più tempo a rompersi.

"Per applicare la forza bruta alle chiavi DES, utilizziamo una serie di gate array programmabili sul campo (FPGA), che sono diventati di moda per il mining di Bitcoin un paio di anni fa e sono diventati più economici una volta passato il clamore," hanno scritto i ricercatori. "La velocità della nostra scheda da 8 moduli *ZTEX 1.15y al prezzo di 2.000 Euro è di 245.760 Mcrypt/sec. È sufficiente ottenere la chiave entro 3 giorni."

Quella era la loro forza bruta più veloce. Se avessero una chiave 3DES parzialmente conosciuta, potrebbero romperla in 10 giorni. L'implementazione della potenza di elaborazione standard, come la CPU Intel (Core i7-2600k), richiederebbe circa cinque anni per rompere il DES e più di 20 anni per rompere il 3DES.

Una volta che DES o 3DES vengono interrotti, i ricercatori affermano che potrebbero inviare comandi alle applicazioni toolkit (TAR). Uno di questi TAR era un file system che memorizzava l'identità temporanea dell'abbonato mobile e le chiavi di cifratura. Questo accesso ha dato al ricercatore la possibilità di decrittografare il traffico dell'abbonato senza utilizzare attacchi di forza bruta su DES, falsificare l'identità di un abbonato per ricevere chiamate e messaggi, tracciare la posizione di un abbonato e causare un rifiuto di servizio inserendo tre codici PIN errati e 10 PUK errati. codici in fila se il codice PIN è abilitato per la protezione del file system.