W komponencie SMF projektu free5GC (open-source implementacja sieci 5G core) endpointy zarządzania UPI są dostępne bez jakiegokolwiek mechanizmu autoryzacji OAuth2/bearer-token. Atakujący z dostępem sieciowym do interfejsu SBI może wykonywać operacje odczytu, zapisu i usuwania konfiguracji węzłów UP bez podawania nagłówka Authorization, co stanowi krytyczne zagrożenie dla integralności infrastruktury 5G.
▸ Pokaż oryginał (EN)
free5GC is an open-source implementation of the 5G core network. Prior to 4.2.2, free5GC's SMF mounts the UPI management route group without OAuth2/bearer-token authorization middleware. A network attacker who can reach SMF on the SBI can hit UPI endpoints with no Authorization header at all, and the requests reach the SMF business handlers. In the running Docker lab this was directly demonstrated for read (GET /upi/v1/upNodesLinks), write (POST /upi/v1/upNodesLinks with attacker-controlled UP-node and link payload), and delete (DELETE /upi/v1/upNodesLinks/{nodeID}) operations. This vulnerability is fixed in 4.2.2.
Komponent SMF montuje grupę tras zarządzania UPI (UPI management route group) bez middleware weryfikującego token OAuth2/bearer. Oznacza to, że żądania HTTP trafiają bezpośrednio do handlerów biznesowych SMF z pominięciem jakiejkolwiek kontroli tożsamości. W środowisku Docker potwierdzono możliwość wykonania operacji GET /upi/v1/upNodesLinks (odczyt), POST /upi/v1/upNodesLinks z dowolnym payload atakującego (zapis) oraz DELETE /upi/v1/upNodesLinks/{nodeID} (usunięcie). Luka wynika z braku implementacji wymaganych mechanizmów autoryzacji (CWE-306: brak uwierzytelnienia dla krytycznych funkcji, CWE-862: brak weryfikacji uprawnień).
Atakujący z dostępem do interfejsu SBI może bez uwierzytelnienia odczytać, zmodyfikować lub usunąć konfigurację węzłów i połączeń User Plane, co może prowadzić do zakłócenia lub całkowitego przerwania ruchu użytkowników w sieci 5G core oraz do nieautoryzowanego przejęcia kontroli nad topologią User Plane.
Należy zaktualizować komponent SMF do wersji 4.2.2, w której wprowadzono poprawkę dodającą wymaganą autoryzację OAuth2/bearer-token na endpointach UPI. Patch dostępny w repozytorium: commit e23ce97565f285eb99eed153743c62bf4c767c6e w projekcie free5gc/smf. Do czasu aktualizacji należy ograniczyć dostęp sieciowy do interfejsu SBI wyłącznie do zaufanych hostów za pomocą firewall lub reguł sieciowych.
free5GC SMF we wszystkich wersjach przed 4.2.2
Podatność została zademonstrowana praktycznie w środowisku Docker lab, co potwierdza realną exploitowalność. Dotyczy infrastruktury sieciowej 5G core — środowisk badawczych, testowych i potencjalnie produkcyjnych opartych na free5GC.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:H/A:HFree5gc
APPFree5Gc< 4.2.2
Powiązane podatności
free5GC NEF: brak autoryzacji OAuth2 na trasach nnef-pfdmanagement
Brak autoryzacji OAuth2 w grupie tras OAM w free5GC NEF (5G core)
Brak autoryzacji OAuth2 w API NEF systemu free5GC (5G core)
Brak autoryzacji OAuth2 w NEF API sieci 5G (free5GC)
Cross-Site Request Forgery vulnerability, whose exploitation could allow an attacker to perform different acti...