一條短信即可完全控制設(shè)備！工業(yè)物聯(lián)網(wǎng)設(shè)備中廣泛使用的調(diào)制解調(diào)器容易受到短信攻擊

2023年11月，卡巴斯基ICS CERT部門的安全研究人員披露了有關(guān)elit Cinterion蜂窩調(diào)制解調(diào)器的一組8個獨立的漏洞，其中7個的標識符為CVE-2023-47610或CVE-2023-47616，另一個尚未注冊。Telit Cinterion蜂窩調(diào)制解調(diào)器廣泛應(yīng)用于工業(yè)、醫(yī)療保健和電信等行業(yè)，其安全缺陷可能允許遠程攻擊者通過短信執(zhí)行任意代碼。在公布安全問題之前，安全公司已于2023年2月向供應(yīng)商報告了這些問題。本周六(5月11日)，在柏林舉行的OffensiveCon會議上，亞歷山大·科茲洛夫(Alexander Kozlov)和謝爾蓋·阿努弗里科(Sergey Anufrienko)將提供有關(guān)安全問題的低級技術(shù)細節(jié)，以及威脅參與者如何利用這些技術(shù)來控制易受攻擊的Telit Cinterion設(shè)備。為了演示遠程危害調(diào)制解調(diào)器的可能性，研究人員開發(fā)了自己的基于短信的文件系統(tǒng)，他們通過SUPL消息處理程序中發(fā)現(xiàn)的漏洞將其安裝到調(diào)制解調(diào)器中。基于此，研究人員可以遠程激活Over The Air Provisioning，在調(diào)制解調(diào)器上安裝任意MIDlet，使用制造商提供的標準機制可以保護MIDlet不被移除，但需要調(diào)制解調(diào)器固件的完全反射來擦除它。根據(jù)這項研究的發(fā)現(xiàn)，研究人員計劃于2024年5月發(fā)表一份關(guān)于調(diào)制解調(diào)器安全的白皮書。

調(diào)制解調(diào)器漏洞簡介

卡巴CERT在漏洞通告中稱，Telit Cinterion BGS5、Telit Cinterion EHS5/6/8、Telit Cinterion PDS5/6/8、Telit Cinterion ELS61/81、Telit Cinterion PLS62中存在CWE-526：通過環(huán)境變量暴露敏感信息漏洞，該漏洞可能允許本地、低特權(quán)攻擊者可以訪問目標系統(tǒng)上的敏感數(shù)據(jù)。簡要漏洞描述如下：

例如， CVE-2023-47611允許通過繞過數(shù)字簽名驗證以提升的權(quán)限執(zhí)行代碼，這對數(shù)據(jù)機密性和設(shè)備完整性構(gòu)成威脅。 CVE-2023-47610威脅最大，攻擊者可以使用特制的短信激活該漏洞，并在未經(jīng)身份驗證的情況下在調(diào)制解調(diào)器上遠程執(zhí)行代碼。

一條短信即可實現(xiàn)設(shè)備接管

在這八個漏洞中，最嚴重的一個漏洞是CVE-2023-47610，這是一個影響調(diào)制解調(diào)器的用戶平面位置(SUPL)消息處理程序的堆溢出問題。

卡巴斯基與Telit合作，基于對技術(shù)細節(jié)的全面分析，給它打了8.8分(滿分10分)。然而，NIST的評估是，該問題具有關(guān)鍵影響，并獲得了9.8分的嚴重分數(shù)。

通過特別制作的短信利用該漏洞的攻擊者可以觸發(fā)該漏洞，并在調(diào)制解調(diào)器上遠程執(zhí)行任意代碼，而不需要身份驗證。

在與BleepingComputer分享的一份報告中，研究人員表示，短信界面存在于所有調(diào)制解調(diào)器上，如果知道手機運營商網(wǎng)絡(luò)中的目標調(diào)制解調(diào)器的用戶數(shù)量，就有可能訪問它。

他們解釋說，運營商的限制有時可能會阻止發(fā)送二進制短信，但假基站應(yīng)該繞過這一限制。

通過利用CVE-2023-47610通過短信執(zhí)行任意代碼，攻擊者可以獲得對調(diào)制解調(diào)器操作系統(tǒng)的深度訪問。“

這種訪問還促進了RAM和閃存的操作，增加了完全控制調(diào)制解調(diào)器功能的潛力——所有這些都不需要身份驗證或需要對設(shè)備的物理訪問”——卡巴斯基。

兩位研究者即將進行的公開演講《One SMS to Root Them All: Exposing Critical Threats in Millions of Connected Devices》-一條短信搞定所有：暴露數(shù)百萬連接設(shè)備的嚴重威脅。

影響評估

盡管卡巴斯基研究人員發(fā)現(xiàn)的其他漏洞的嚴重性得分較低，但它們可以被用來損害具有各種功能的基于midlet的Java應(yīng)用程序的完整性。

根據(jù)卡巴斯基的說法，攻擊者可以通過繞過數(shù)字簽名檢查(CVE-2023-47611)以更高的特權(quán)(制造商級別)實現(xiàn)代碼執(zhí)行。這不僅會對數(shù)據(jù)機密性和完整性構(gòu)成威脅，還會對更廣泛的網(wǎng)絡(luò)安全和設(shè)備完整性構(gòu)成威脅。

雖然研究的目標是Cinterion EHS5-E系列調(diào)制解調(diào)器，但由于該供應(yīng)商的其他產(chǎn)品具有類似的軟件和硬件架構(gòu)，其他型號設(shè)備也受到影響:

Cinterion BGS5

Cinterion EHS5/6/7

Cinterion PDS5/6/8

Cinterion ELS61/81

Cinterion PLS62

卡巴斯基告訴BleepingComputer, Telit修復(fù)了一些已發(fā)現(xiàn)的漏洞，但有些仍未打補丁。

卡巴斯基ICS CERT負責(zé)人葉夫根尼?岡恰洛夫(Evgeny Goncharov)表示:“我們發(fā)現(xiàn)的漏洞，加上這些設(shè)備在各個行業(yè)的廣泛部署，突顯了全球大規(guī)模破壞的可能性。”

卡巴的安全措施及建議

Goncharov指出，由于調(diào)制解調(diào)器嵌入到其他解決方案中，因此確定哪些產(chǎn)品受到影響是一個挑戰(zhàn)。

這家安全公司有一些建議來減輕威脅，這些建議通常是通過與電信運營商合作來實現(xiàn)的。一種策略是禁止向受影響的設(shè)備發(fā)送短信，并使用安全配置的私有APN。

卡巴斯基還建議強制應(yīng)用程序簽名驗證，以防止在調(diào)制解調(diào)器上安裝不受信任的MIDIets，并采取措施防止未經(jīng)授權(quán)的物理訪問設(shè)備。

參考資源

1、https://www.securitylab.ru/news/548123.php

2、https://www.bleepingcomputer.com/news/security/widely-used-modems-in-industrial-iot-devices-open-to-sms-attack/

3、https://www.offensivecon.org/speakers/2024/alexander-kozlov-and-sergey-anufrienko.html

4、https://ics-cert.kaspersky.com/vulnerabilities/

來源：網(wǎng)空閑話plus