導語:本文介紹了惡意xApp如何危害整個RAN智能控制器(RIC)子系統。
開放式無線接入網 (ORAN or O-RAN) 是搭建一個開放、虛擬化和智能的無線接入網 (RAN) 體系結構,從而創造一個包含多家廠商、各家廠商的產品之間可以互操的生態系統。開放無線接入網(ORAN)體系結構為以前封閉的系統提供了標準化的接口和協議。然而,通過對ORAN的研究表明,惡意xApps構成的潛在威脅能夠危及整個Ran智能控制器(RIC)子系統。Open RAN為5G無線接入網(RAN)引入了模塊化和解耦的設計范式,并承諾通過O-RAN定義的RAN智能控制器(RIC, RAN Intelligent Controller)實現完全的可編程性。
開放式無線電接入網架構通過建立標準接口和協議提供了對先前封閉的無線電接入網系統的接入。預計不同的供應商將在O-RAN中創建eXtended應用程序(xApps),由運營商安裝,這使得xApps成為惡意攻擊者的潛在攻擊向量,目的是在關鍵通信節點中站穩腳跟。
本文將會介紹惡意xApp如何危害整個RAN智能控制器(RIC)子系統。
5G網絡
下圖為5G蜂窩網絡的總體架構。通過對分組核心的一些修改,拓撲結構也可以擴展以適應前幾代網絡(如3G和4G)。在下圖的左側是用戶:
5G網絡的端到端架構
基站(如圖2所示)由以下組件組成:
1.發射和接收無線電信號的天線。
2.一種遠程無線電頭(RRH),它容納射頻(RF)收發器,負責將數字信號轉換為無線電信號,反之亦然。
3.一種基帶單元(BBU),用于處理數字數據處理,包括調制、編碼和解碼以及更高層協議。BBU可以管理多個RRH和天線。
典型RAN架構的組件
rrh通常位于天線附近,安裝在手機信號塔上。BBUs曾經與蜂窩塔同處一處,但目前的基礎設施促使它們會位于更遠的中心位置。RAN的演變如本文所示。
vRAN(虛擬化RAN)是一種運行在商用現成硬件上的虛擬化BBU。在分離式vRAN設計中,BBU分為CU (central unit)和DU (distributed unit)兩部分。
Open RAN
盡管虛擬化和分解,RAN體系結構仍然相對封閉(也就是說,大多數組件必須來自同一供應商以確保兼容性)。當網絡架構關閉時,運營商通常需要向單一供應商支付巨額費用來購買設備和技術。
O-RAN架構旨在通過采用開放的標準、接口和協議來實現互操作性和靈活性。開放式RAN打破了系統的封閉性,允許運營商從不同的供應商選擇設備和軟件,從而實現更高程度的網絡定制(例如,從一個供應商購買CU,然后從另一個供應商獲得DU)。這允許更多的二、三線設備制造商參與進來。
O-RAN不僅僅是開放接口,它還通過基于人工智能的控制實現對下一代ran的開放訪問。本地網絡實體和RIC之間的開放接口可以促進無線電資源的實時感知、管理和響應。然而,由于其開放標準的性質,O-RAN本質上更容易受到攻擊和其他威脅,因此設計適當的安全機制非常重要。
O-RAN聯盟
O-RAN聯盟是一個開放的技術組織,由移動運營商、供應商、研究組織和學術機構組成,致力于推進open RAN概念,該聯盟已經設計了一套open RAN規范。
該聯盟之前與linux基金會合作開發了該規范的參考實現,稱為O-RAN SC, O-RAN SC規范是開源的,其代碼來自愛立信、諾基亞、三星、Radisys和AT&T等頂級RAN供應商。鑒于這種協作努力,許多供應商更有可能將O-RAN SC代碼納入其商業產品中。
O-RAN架構
O-RAN聯盟在其網站上提供了O-RAN架構的概述,下圖顯示了O-RAN如何適應5G網絡拓撲結構。
O-RAN如何適應5G網絡拓撲結構
Near-RT RIC和RIC消息路由器(RMR)
Near-RT RIC使用E2接口來控制底層的RAN組件(包括CU、DU和RU),可以將它看作OpenFlow在RAN中的對應組件。E2接口的要求是能夠將Near-RT RIC連接不同供應商的不同類型的RAN組件。這個要求反映在圍繞服務模型(Service Model) 抽象的API中,其思想是每個RAN組件都發布一個服務模型,定義該組件能夠支持的RAN功能集。
Near-RTRIC是O-RAN體系結構的重要組成部分之一,它對網絡中的RF資源進行監控和管理,以優化網絡性能。它可以實時收集和分析網絡數據,還可以做出智能決策,優化無線資源的配置,使這些資源能夠滿足不同終端設備和服務的需求。
在Near-RT的RIC中,還有許多其他子組件,如E2term、E2Mgr和xApps。這些組件之間的通信依賴于RIC Message Router (RMR)表,在Near-RT的RIC中,該表通常包含與消息的路由和管理相關的信息。這些表包括消息的目的地、優先級、隊列和其他相關屬性等詳細信息。
RMR表包括以下信息:
消息目的地:指定應將消息路由到何處以及應處理該消息的實體或處理程序。優先事項指示處理消息的優先級,以確保重要消息得到更快的響應。
排隊:用于存儲消息以供后續處理。
消息類型:標識消息的類型,以便正確的處理程序能夠處理它。
消息標識符:標識消息的唯一值:它用于跟蹤消息狀態和處理進度。
RMR庫是一組用于與RMR表交互的api,它包含在組成Near-RTRIC的組件中,例如xApp和E2Term。例如,兩個獨立xapp之間的交互將通過RMR進行。在這種情況下,xApp_A將根據KPI信息做出判斷,然后通過RMR調用xApp_B。
下圖顯示了使用RMR庫和路由表的Near-RTRIC中組件之間的交互。
RIC組件如何使用RMR
我們的研究揭示了Near-RTRIC的消息傳遞基礎設施中的多個漏洞。
攻擊方法
在Near-RT的RIC中運行,xApps是提供諸如無線電資源優化、網絡監控和性能增強等功能的軟件組件。這些組件可以由網絡運營商、第三方開發人員或網絡設備供應商進一步開發,以增加獨特的價值和功能。從這個意義上說,xApps可以被認為是所有O-RAN組件中最開放的。
這種多廠商生態系統推動了創新,但也帶來了以下挑戰:
安全xApp登錄;
互操作性;
魯棒性問題;
通常情況下,xApps應該來自多個供應商。因此,我們開始研究時假設xApps是一種潛在的攻擊媒介,xApp可能會通過供應鏈或劫持引導進程而受到攻擊。即使是良性的xApp,如果它發出意外的或異常的消息,也會造成傷害。我們的研究結果證實了這些假設。
RMR漏洞
CVE-2023-40998:來自xApp的精心制作的惡意數據包導致RT RIC的E2term崩潰。
CVE-2023-40998漏洞涉及錯誤的數據包信息,可能導致解碼過程中的數據包大小為負,從而導致執行內存操作時崩潰。
CVE-2023-40998消息流
消息大小變為負數的原因是它由數據包的前四個字節決定。如果設置不正確,它可能在解碼過程中導致負值,從而導致崩潰。
CVE-2023-40997:以無效格式發送的精心制作的消息導致Near-RTRIC的E2term崩潰。
CVE-2023-40997消息流
CVE-2023-40997發送報文無法正確解碼,導致內存地址計算錯誤,導致E2Term崩潰。
CVE-2023-41627:RMR表欺騙
E2Term依賴路由管理器定期發送的路由表信息來與RIC系統中的其他組件建立通信,但E2Term不會驗證它接收到的路由表信息的發送方。由于缺乏驗證,攻擊者可以通過向E2Term發送偽造路由表信息來利用CVE-2023-41627漏洞,通過使用路由管理器以更高的頻率將此信息發送給E2Term,攻擊者可以欺騙E2Term并中斷其與其他組件的通信。
CVE-2023-41627消息流
RMR劫持:兩個xapp使用相同的訂閱ID發送相同的消息類型
當xApp_A向訂閱E2節點發送函數ID時,xApp_B向訂閱E2節點發送相同的函數ID。然后,xApp_A RMR表項將被覆蓋,這意味著它不能從E2節點接收消息。相反,E2節點將向第二個xApp_B發送消息。
O-RAN是通信網絡的關鍵組成部分,O-RAN節點存儲加密密鑰并處理用戶流量。
這里描述的兩個漏洞會導致DoS事件,它們與xApps、RMR和Near-RT的RIC有關。這些組件提供射頻資源優化和流量管理等增值服務。
O-RAN設計用于在RIC/E2組件不可用的情況下進行流量處理。理論上,RIC組件的崩潰不應該關閉蜂窩連接。但是,這可能導致資源利用不暢和服務退化。
同時,RMR欺騙和劫持可以在不關閉任何組件的情況下破壞RIC中的xApp生態系統。這就造成了資源利用率低下和服務退化。
即使是良性的xapp也可能由于實現不當而造成損害。這可能會對O-RAN中多廠商組件的互操作性產生不利影響。
緩解
嚴格的驗證和登錄過程可以防止惡意xApps進入系統,即使RIC組件發生故障,確保O-RAN也可以處理網絡流量,這也可以緩解攻擊的影響。
建議使用深度包檢測(DPI)系統來檢查組件之間的流量,以便可以根據需要應用熱補丁。
這個DPI系統能夠理解O-RAN協議。
翻譯自:
https://www.trendmicro.com/en_us/research/23/l/the-current-state-of-open-ran-security.html
