Low-Power Wide Area Network

Introduction

Low-Power Wide Area Network (LPWAN) एक समूह है वायरलेस, कम-शक्ति, विस्तृत-क्षेत्र नेटवर्क तकनीकों का जो लंबी दूरी के संचार के लिए डिज़ाइन की गई हैं, एक कम बिट दर पर।
ये छह मील से अधिक की दूरी तक पहुँच सकते हैं और उनकी बैटरियाँ 20 वर्षों तक चल सकती हैं।

Long Range (LoRa) वर्तमान में सबसे अधिक तैनात LPWAN भौतिक परत है और इसका ओपन MAC-परत विनिर्देशन LoRaWAN है।

LPWAN, LoRa, और LoRaWAN

• LoRa – Chirp Spread Spectrum (CSS) भौतिक परत जो Semtech द्वारा विकसित की गई है (स्वामित्व लेकिन प्रलेखित)।
• LoRaWAN – ओपन MAC/नेटवर्क परत जिसे LoRa-Alliance द्वारा बनाए रखा जाता है। संस्करण 1.0.x और 1.1 क्षेत्र में सामान्य हैं।
• सामान्य आर्किटेक्चर: अंत-उपकरण → गेटवे (पैकेट-फॉरवर्डर) → नेटवर्क-सेवा → अनुप्रयोग-सेवा।

सुरक्षा मॉडल दो AES-128 रूट कुंजियों (AppKey/NwkKey) पर निर्भर करता है जो जोड़ने की प्रक्रिया (OTAA) के दौरान सत्र कुंजियाँ निकालते हैं या हार्ड-कोडेड होते हैं (ABP)। यदि कोई कुंजी लीक होती है, तो हमलावर को संबंधित ट्रैफ़िक पर पूर्ण पढ़ने/लिखने की क्षमता मिलती है।

हमले की सतह का सारांश

हाल की कमजोरियाँ (2023-2025)

• CVE-2024-29862 – ChirpStack गेटवे-ब्रिज & mqtt-फॉरवर्डर ने TCP पैकेट स्वीकार किए जो Kerlink गेटवे पर स्थिति-आधारित फ़ायरवॉल नियमों को बायपास करते थे, जिससे दूरस्थ प्रबंधन इंटरफ़ेस का प्रदर्शन हुआ। इसे क्रमशः 4.0.11 / 4.2.1 में ठीक किया गया।
• Dragino LG01/LG308 श्रृंखला – कई 2022-2024 CVEs (जैसे 2022-45227 निर्देशिका यात्रा, 2022-45228 CSRF) 2025 में अभी भी बिना पैच के देखे गए; हजारों सार्वजनिक गेटवे पर बिना प्रमाणीकरण फर्मवेयर डंप या कॉन्फ़िगरेशन ओवरराइट सक्षम करें।
• Semtech पैकेट-फॉरवर्डर UDP ओवरफ्लो (अप्रकाशित सलाह, पैच 2023-10): 255 B से बड़ा तैयार अपलिंक स्टैक-स्मैश को ट्रिगर करता है ‑> SX130x संदर्भ गेटवे पर RCE (Black Hat EU 2023 “LoRa Exploitation Reloaded” द्वारा पाया गया)।

व्यावहारिक हमले की तकनीकें

1. ट्रैफ़िक को स्निफ़ और डिक्रिप्ट करें

# Capture all channels around 868.3 MHz with an SDR (USRP B205)
python3 lorattack/sniffer.py \
--freq 868.3e6 --bw 125e3 --rate 1e6 --sf 7 --session smartcity

# Bruteforce AppKey from captured OTAA join-request/accept pairs
python3 lorapwn/bruteforce_join.py --pcap smartcity.pcap --wordlist top1m.txt

2. OTAA जॉइन-रिप्ले (DevNonce पुन: उपयोग)

1. एक वैध JoinRequest कैप्चर करें।
2. इसे तुरंत पुनः प्रसारित करें (या RSSI बढ़ाएं) इससे पहले कि मूल डिवाइस फिर से प्रसारित करे।
3. नेटवर्क-सर्वर एक नया DevAddr और सत्र कुंजी आवंटित करता है जबकि लक्षित डिवाइस पुराने सत्र के साथ जारी रहता है → हमलावर के पास खाली सत्र होता है और वह जाली अपलिंक इंजेक्ट कर सकता है।

3. अनुकूलन डेटा-रेट (ADR) डाउनग्रेडिंग

SF12/125 kHz को मजबूर करें ताकि एयरटाइम बढ़ सके → गेटवे का ड्यूटी-साइकिल समाप्त करें (सेवा से इनकार) जबकि हमलावर पर बैटरी का प्रभाव कम रखें (बस नेटवर्क-स्तरीय MAC कमांड भेजें)।

4. प्रतिक्रियाशील जामिंग

HackRF One जो GNU Radio फ्लोग्राफ चला रहा है, प्रीएंबल का पता लगाते ही एक चौड़ी-बैंड चिरप को ट्रिगर करता है – सभी स्प्रेडिंग फैक्टर को ≤200 mW TX के साथ ब्लॉक करता है; 2 किमी रेंज पर पूर्ण आउटेज मापा गया।

आक्रामक उपकरण (2025)

रक्षात्मक सिफारिशें (पेंटेस्टर चेकलिस्ट)

1. OTAA उपकरणों को प्राथमिकता दें जिनमें वास्तव में यादृच्छिक DevNonce हो; डुप्लिकेट की निगरानी करें।
2. LoRaWAN 1.1 को लागू करें: 32-बिट फ्रेम काउंटर, अलग FNwkSIntKey / SNwkSIntKey।
3. फ्रेम-काउंटर को गैर-वाष्पशील मेमोरी (ABP) में स्टोर करें या OTAA में माइग्रेट करें।
4. रूट कुंजी को फर्मवेयर निष्कर्षण से बचाने के लिए सुरक्षित-तत्व (ATECC608A/SX1262-TRX-SE) तैनात करें।
5. दूरस्थ UDP पैकेट-फॉरवर्डर पोर्ट (1700/1701) को अक्षम करें या WireGuard/VPN के साथ प्रतिबंधित करें।
6. गेटवे को अपडेट रखें; Kerlink/Dragino 2024-पैच की गई छवियाँ प्रदान करते हैं।
7. ट्रैफिक विसंगति पहचान (जैसे, LAF विश्लेषक) को लागू करें – काउंटर रीसेट, डुप्लिकेट जॉइन, अचानक ADR परिवर्तनों को चिह्नित करें।

संदर्भ

• LoRaWAN ऑडिटिंग फ्रेमवर्क (LAF) – https://github.com/IOActive/laf
• ट्रेंड माइक्रो LoRaPWN अवलोकन – https://www.hackster.io/news/trend-micro-finds-lorawan-security-lacking-develops-lorapwn-python-utility-bba60c27d57a