A insegurança da stack de telecomunicações após o Salt Typhoon

 (soatok.blog)
1 pontos por GN⁺ 2025-03-14 | 1 comentários | Compartilhar no WhatsApp

  • Vulnerabilidade da stack de telecomunicações

    • Contexto: No fim do ano passado, ocorreu um incidente em que um grupo chamado "Salt Typhoon" invadiu a T-Mobile e outras empresas de telecomunicações. Esse caso levou a uma revisão da segurança de softwares de código aberto relacionados a telecomunicações.

  • Buffer overflow na biblioteca XMLRPC do FreeSWITCH

    • Problema: Na biblioteca XMLRPC do FreeSWITCH, o manipulador de requisições HTTP grava uma URI de comprimento arbitrário em uma variável de stack de 4096 bytes. Isso é uma vulnerabilidade de buffer overflow, pois um atacante pode enviar uma URI com mais de 4096 caracteres.

    • Solução: É necessário aplicar programação defensiva em C usando snprintf().

  • Tentativa de divulgação da vulnerabilidade por Soatok

    • 2025-01-27: Os detalhes da vulnerabilidade foram enviados para o endereço de e-mail especificado na política de segurança do FreeSWITCH.

    • 2025-02-07: Um e-mail de acompanhamento foi enviado para confirmar se o relatório havia sido recebido.

    • Resposta: Andrey Volk respondeu que a vulnerabilidade havia sido corrigida recentemente. No entanto, uma nova versão com a correção de segurança ainda não havia sido marcada.

  • Problema ocorrido

    • Um funcionário da SignalWire afirmou que usuários que não compraram o FreeSWITCH Advantage permaneceriam vulneráveis até o verão. Isso significa que milhares de stacks de telecomunicações podem continuar vulneráveis.

  • Problema sistêmico na segurança de telecomunicações

    • Causa do problema: Há poucos incentivos econômicos para investir na segurança de sistemas de telecomunicações. Esse é um dos motivos pelos quais a segurança de telecomunicações continua frágil até hoje.

    • Possibilidades futuras: Pode surgir a possibilidade de desenvolver um concorrente do FreeSWITCH em Rust, ou vontade política para investir na segurança da infraestrutura de telecomunicações dos Estados Unidos.

  • Considerações finais

    • Este é um problema técnico simples, mas pode haver uma questão maior por trás dele. A resposta da SignalWire foi decepcionante, mas ainda assim houve retorno em até 90 dias e o problema foi corrigido no GitHub. Também é possível considerar medidas como bloquear, no nível do firewall, o acesso HTTP público à stack do FreeSWITCH.

Leituras relacionadas

1 comentários

 
GN⁺ 2025-03-14
Opinião do Hacker News

  • O autor reconhece que não tem experiência com infraestrutura em nível de operadora, mas sua desconfiança está essencialmente correta

    • Tenho experiência realizando testes e pesquisas de segurança em 4G e 5G para várias grandes operadoras
    • Dependendo da operadora e do fornecedor do produto, a segurança ainda é muito fraca
    • Até recentemente, a segurança dependia completamente da obscuridade, e os padrões 4G e 5G começaram a resolver isso, mas ainda existem grandes vulnerabilidades
    • É bastante provável que agentes de ameaça de nível intermediário consigam invadir operadoras
    • Fornecedores de hardware de certo país do Leste Asiático têm software tão mal escrito que praticamente não há segurança
    • Fornecedores ocidentais de hardware têm software mais maduro, mas ainda ficam atrás das práticas modernas de segurança

  • Em 2025, ainda não faz sentido usar chaves pré-compartilhadas nos padrões de telefonia móvel

    • Algoritmos como RSA e Diffie Hellman existem há décadas
    • Os cartões SIM ainda são configurados com uma chave pré-compartilhada conhecida apenas pelo cartão e pela operadora, e toda a autenticação e criptografia se baseia nessa chave
    • Se a operadora for invadida e a chave for roubada, não há como reagir
    • Como o fabricante do cartão SIM precisa enviar a chave para a operadora, há oportunidades de invasão ou roubo da chave nesse processo
    • Se o fabricante do SIM ou o fornecedor do equipamento principal da rede cooperar com a NSA e fornecer as chaves, pode haver a possibilidade de interceptar o tráfego de telefonia móvel do mundo inteiro

  • A conclusão da postagem no blog de que o Freeswitch não está se afastando do cronograma de lançamentos da comunidade não é nada surpreendente

    • O Freeswitch tinha um forte espírito de comunidade
    • A situação mudou quando, há alguns anos, passou a adotar uma direção comercial mais agressiva
    • Agora há coisas às quais só se pode acessar por meio de "cadastro", o que desestimula o fornecimento de dados pessoais para uma empresa comercial

  • Entre agentes de ameaça estrangeiros, Five Eyes/outros acordos ocidentais e a pressão por aumento de receita, é justo assumir que não existe anonimato real online

    • Isso não é muito diferente da era anterior à internet
    • Para proteger informações importantes, é preciso criptografá-las de uma forma difícil de acessar eletronicamente

  • Uma área em que o Freeswitch é frequentemente usado sem contrato de suporte é em instalações do BigBlueButton em escolas e universidades

    • Isso me preocupa mais do que as operadoras

  • Não estou totalmente convencido da afirmação de que "a segurança das telecomunicações é péssima hoje"

    • Escolher o Freeswitch aleatoriamente e encontrar um buffer overflow é uma evidência fraca
    • Alega-se que o ataque Salt Typhoon explorou uma vulnerabilidade da Cisco, mas analistas sugerem que os invasores usaram credenciais legítimas

  • Fico curioso para saber quantas pessoas usam o módulo XML RPC

    • Ele não é carregado por padrão
    • Segundo o Shodan, 468 pessoas o utilizam

  • Há hacks realmente bons com injeção de CAMEL MAP

    • Controla várias funções, como SMS, USSD e serviços de localização
    • Provedores de "SMS em massa" em ilhas caribenhas ricas e na Indonésia fazem mais do que apenas enviar spam

  • Grandes operadoras não executam FreeSwitch nem Asterisk no núcleo da rede

  • Recomendo fortemente conferir as apresentações da P1 Security sobre segurança em comunicações móveis

    • O material é antigo, mas não há motivo para acreditar que tenha melhorado
    • Vulnerabilidades de segurança de software são apenas parte do problema, e as operadoras terceirizam controles e acessos críticos para quem oferece o menor preço