Bug 5Ghoul afeta celulares 5G com chip MediaTek e Qualcomm

Da Redação
11/12/2023

Um novo conjunto de vulnerabilidades em modems 5G da Qualcomm e da MediaTek, chamado de “5Ghoul”, afeta 710 modelos de smartphones 5G de parceiros do Google (Android) e da Apple (iOS), roteadores e modems USB. As falhas 5Ghoul foram descobertas por pesquisadores da Universidade de Tecnologia e Design de Cingapura, que fazem pesquisas focadas para melhorar a segurança, proteção e eficiência de sistemas de hardware e software. Ao todo, foram detectadas 14 vulnerabilidades em sistemas de comunicação móvel, dez das quais foram divulgadas e quatro retidas por razões de segurança.

Os ataques 5Ghoul vão desde interrupções temporárias dos serviços a downgrades de rede, que podem ser mais graves do ponto de vista de segurança. Os pesquisadores descobriram as falhas ao fazer experimentos com análise de firmware do modem 5G e relatam que as falhas são fáceis de explorar, já que o invasor pode usar a falha para fazer se passar por uma estação rádio base (ERB) 5G legítima. Isso se aplica mesmo quando o invasor não têm informações sobre o cartão SIM do alvo, pois o ataque ocorre antes da etapa de autenticação do NAS (sistema de armazenamento em rede).

“O invasor não precisa estar ciente de nenhuma informação secreta do equipamento do usuário (UE) alvo como, por exemplo, os detalhes do cartão SIM do UE, para concluir o registro da rede NAS”, explicam os pesquisadores no site da Universidade de Cingapura. “O invasor só precisa representar a estação rádio base chamada gNB (gNodeB) legítima usando os parâmetros de conexão conhecidos da torre de celular (por exemplo, SSB ARFCN, código de área de rastreamento, ID de célula física em redes celulares e frequência do ponto A).”

Isso é possível, só que ao custo de alguns milhares de dólares, usando software de código aberto para análise de rede e fuzzing, um mini PC, um rádio definido por software (SDR), e equipamentos diversos como cabos, antenas, fontes de alimentação, etc.

Detalhes da vulnerabilidade 5Ghoul

As dez vulnerabilidades 5Ghoul, que foram comunicadas à Qualcomm e à MediaTek na quinta-feira passada, 7, são:

  • CVE-2023-33043: MAC/RLC PDU inválido causando negação de serviço (DoS) em modems Qualcomm X55/X60. Os invasores podem enviar um frame MAC de downlink inválido para o UE 5G de destino a partir de um gNB malicioso próximo, levando a um travamento temporário e reinicialização do modem.
  • CVE-2023-33044: PDU (rack) desconhecida do NAS causando DoS em modems Qualcomm X55/X60. Esta vulnerabilidade permite que os invasores enviem uma PDU NAS inválida para o UE de destino, resultando em falha e reinicialização do modem.
  • CVE-2023-33042: Desativa o downgrade 5G via RRC pdcch-config inválido em modems Qualcomm X55/X60, levando a downgrade ou negação de serviço. Um invasor pode enviar um frame RRC malformado durante o procedimento de conexão RRC (controle de recursos de rádio), desabilitando a conectividade 5G e exigindo uma reinicialização manual para restauração.
  • CVE-2023-32842: Instalação inválida do RRC spCellConfig causando DoS nos modems MediaTek Dimensity 900/1200. A vulnerabilidade envolve o envio de uma configuração de conexão RRC malformada, levando à falha do modem e à reinicialização nos dispositivos afetados.
  • CVE-2023-32844: Invalid RRC pucch CSIReportConfig causando DoS em modems MediaTek Dimensity 900/1200. Os invasores podem enviar uma configuração de conexão RRC malformada, fazendo com que o modem falhe e seja reinicializado.
  • CVE-2023-20702: Sequência de dados RLC (circuito ressonante) inválida causando DoS (desreferenciamento de ponteiro nulo) em modems MediaTek Dimensity 900/1200. Um invasor pode explorar isso enviando uma PDU de status RLC malformada, levando a uma falha e reinicialização do modem.
  • CVE-2023-32846: RRC truncado physicalCellGroupConfig causando DoS (desreferenciação de ponteiro nulo) em modems MediaTek Dimensity 900/1200. A configuração de conexão RRC malformada pode causar erros de acesso à memória, levando a uma falha do modem.
  • CVE-2023-32841: RRC inválido searchSpacesToAddModList causando DoS em modems MediaTek Dimensity 900/1200. Isso envolve o envio de uma configuração de conexão RRC malformada, causando uma falha de modem nos dispositivos afetados.
  • CVE-2023-32843: Elemento de configuração de uplink RRC inválido causando DoS em modems MediaTek Dimensity 900/1200. O envio de uma configuração de conexão RRC malformada pode resultar em falha do modem e reinicialização nos dispositivos afetados.
  • CVE-2023-32845: Elemento de configuração de uplink RRC nulo causando DoS em modems MediaTek Dimensity 900/1200. A Configuração de Conexão RRC Malformada pode disparar uma falha de modem definindo determinados campos de carga RRC como nulos.

O CVE-2023-33042 é particularmente preocupante porque pode forçar um dispositivo a se desconectar de uma rede 5G e voltar para o 4G, expondo-o a potenciais vulnerabilidades que o expõem a uma gama mais ampla de ataques. As falhas de DoS nessas vulnerabilidades fazem com que os dispositivos percam toda a conectividade até que sejam reinicializados. Isso não é tão crítico, embora ainda possa ter implicações significativas em ambientes de missão crítica que dependem do serviço celular.

Veja isso
Falha com gravidade 9.4 em modem para Android
Milhões de modems a cabo podem estar vulneráveis

A identificação de todos os modelos impactados está em andamento, mas os pesquisadores já confirmaram que 714 smartphones de 24 marcas são impactados. Algumas marcas vulneráveis incluem telefones da Poco, Black, Lenovo, AGM, Google, TCL, Redmi, HTC, Microsoft e Gigaset. 

Tanto a Qualcomm quanto a MediaTek divulgaram boletins de segurança para as vulnerabilidades 5Ghoul divulgadas. As atualizações de segurança foram disponibilizadas aos fornecedores de dispositivos há dois meses. Ainda assim, dada a complexidade do fornecimento de software, especialmente no Android, levará um tempo até que as correções cheguem aos usuários finais por meio de atualizações de segurança.

Para saber mais sobre as falhas do 5Ghoul, seu potencial de exploração e ramificações, e informações técnicas podem ser encontradas no whitepaper dos pesquisadores.

Compartilhar: