W projekcie free5GC przed wersją 4.2.2 komponent NEF (Network Exposure Function) udostępnia interfejs API 3gpp-pfd-management bez wymaganej weryfikacji tokenu OAuth2/bearer. Atakujący sieciowy może bez żadnych uprawnień manipulować stanem transakcji PFD-management, używając dowolnego lub sfałszowanego tokenu.
▸ Pokaż oryginał (EN)
free5GC is an open-source implementation of the 5G core network. Prior to 4.2.2, free5GC's NEF mounts the 3gpp-pfd-management API without inbound OAuth2/bearer-token authorization. A network attacker who can reach NEF on the SBI can create, read, and delete PFD-management transaction state with a forged or arbitrary bearer token (e.g. Authorization: Bearer not-a-real-token). The route group is also reachable even when the running config's ServiceList does not declare it, so operators who think they disabled the service via config are still exposed. This vulnerability is fixed in 4.2.2.
Podatność polega na braku kontroli autoryzacji (CWE-862) na grupie tras obsługującej API 3gpp-pfd-management w komponencie NEF. Atakujący osiągalny w sieci SBI (Service Based Interface) może wysyłać żądania HTTP z nagłówkiem 'Authorization: Bearer <dowolna_wartość>' i uzyskiwać dostęp do chronionych zasobów. Co szczególnie istotne, podatna grupa tras jest dostępna nawet wtedy, gdy konfiguracja operatora nie deklaruje tej usługi w polu ServiceList — co oznacza, że wyłączenie usługi przez konfigurację nie zapewnia rzeczywistej ochrony.
Atakujący może tworzyć, odczytywać i usuwać dane stanu transakcji PFD-management (Packet Flow Description), co prowadzi do naruszenia integralności i dostępności konfiguracji przepływów pakietów w rdzeniu sieci 5G, a także do częściowego ujawnienia informacji.
Należy zaktualizować free5GC do wersji 4.2.2 lub nowszej, w której błąd został naprawiony. Szczegóły poprawki dostępne w referencjach producenta: https://github.com/free5gc/nef/pull/23
free5GC (open-source implementacja rdzenia sieci 5G) we wszystkich wersjach przed 4.2.2, komponent NEF (Network Exposure Function)
Operatorzy, którzy sądzili, że wyłączyli usługę NEF poprzez konfigurację ServiceList, są nadal narażeni na tę podatność — wyłączenie przez konfigurację nie blokuje dostępu do podatnej grupy tras.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:H/A:HFree5gc
APPFree5Gc< 4.2.2
Powiązane podatności
free5GC NEF: brak autoryzacji OAuth2 na trasach nnef-pfdmanagement
free5GC SMF: brak autoryzacji OAuth2 na endpointach UPI — pełny dostęp bez uwierzytelnienia
Brak autoryzacji OAuth2 w grupie tras OAM w free5GC NEF (5G core)
Brak autoryzacji OAuth2 w API NEF systemu free5GC (5G core)
Cross-Site Request Forgery vulnerability, whose exploitation could allow an attacker to perform different acti...