分析開(kāi)放式無(wú)線接入網(wǎng)的安全現(xiàn)狀

作者：區(qū)塊軟件開(kāi)發(fā) 2023-12-11 21:39:51

本文介紹了惡意xApp如何危害整個(gè)RAN智能控制器（RIC）子系統(tǒng)。

開(kāi)放式無(wú)線接入網(wǎng) (ORAN or O-RAN) 是搭建一個(gè)開(kāi)放、虛擬化和智能的無(wú)線接入網(wǎng) (RAN) 體系結(jié)構(gòu)，從而創(chuàng)造一個(gè)包含多家廠商、各家廠商的產(chǎn)品之間可以互操的生態(tài)系統(tǒng)。開(kāi)放無(wú)線接入網(wǎng)(ORAN)體系結(jié)構(gòu)為以前封閉的系統(tǒng)提供了標(biāo)準(zhǔn)化的接口和協(xié)議。然而，通過(guò)對(duì)ORAN的研究表明，惡意xApps構(gòu)成的潛在威脅能夠危及整個(gè)Ran智能控制器(RIC)子系統(tǒng)。Open RAN為5G無(wú)線接入網(wǎng)(RAN)引入了模塊化和解耦的設(shè)計(jì)范式，并承諾通過(guò)O-RAN定義的RAN智能控制器(RIC, RAN Intelligent Controller)實(shí)現(xiàn)完全的可編程性。

開(kāi)放式無(wú)線電接入網(wǎng)架構(gòu)通過(guò)建立標(biāo)準(zhǔn)接口和協(xié)議提供了對(duì)先前封閉的無(wú)線電接入網(wǎng)系統(tǒng)的接入。預(yù)計(jì)不同的供應(yīng)商將在O-RAN中創(chuàng)建eXtended應(yīng)用程序（xApps），由運(yùn)營(yíng)商安裝，這使得xApps成為惡意攻擊者的潛在攻擊向量，目的是在關(guān)鍵通信節(jié)點(diǎn)中站穩(wěn)腳跟。

本文將會(huì)介紹惡意xApp如何危害整個(gè)RAN智能控制器（RIC）子系統(tǒng)。

5G網(wǎng)絡(luò)

下圖為5G蜂窩網(wǎng)絡(luò)的總體架構(gòu)。通過(guò)對(duì)分組核心的一些修改，拓?fù)浣Y(jié)構(gòu)也可以擴(kuò)展以適應(yīng)前幾代網(wǎng)絡(luò)（如3G和4G）。在下圖的左側(cè)是用戶：

5G網(wǎng)絡(luò)的端到端架構(gòu)

基站（如圖2所示）由以下組件組成：

1.發(fā)射和接收無(wú)線電信號(hào)的天線。

2.一種遠(yuǎn)程無(wú)線電頭（RRH），它容納射頻（RF）收發(fā)器，負(fù)責(zé)將數(shù)字信號(hào)轉(zhuǎn)換為無(wú)線電信號(hào)，反之亦然。

3.一種基帶單元（BBU），用于處理數(shù)字?jǐn)?shù)據(jù)處理，包括調(diào)制、編碼和解碼以及更高層協(xié)議。BBU可以管理多個(gè)RRH和天線。

典型RAN架構(gòu)的組件

rrh通常位于天線附近，安裝在手機(jī)信號(hào)塔上。BBUs曾經(jīng)與蜂窩塔同處一處，但目前的基礎(chǔ)設(shè)施促使它們會(huì)位于更遠(yuǎn)的中心位置。RAN的演變?nèi)绫疚乃尽?/p>

vRAN(虛擬化RAN)是一種運(yùn)行在商用現(xiàn)成硬件上的虛擬化BBU。在分離式vRAN設(shè)計(jì)中，BBU分為CU (central unit)和DU (distributed unit)兩部分。

Open RAN

盡管虛擬化和分解，RAN體系結(jié)構(gòu)仍然相對(duì)封閉(也就是說(shuō)，大多數(shù)組件必須來(lái)自同一供應(yīng)商以確保兼容性)。當(dāng)網(wǎng)絡(luò)架構(gòu)關(guān)閉時(shí)，運(yùn)營(yíng)商通常需要向單一供應(yīng)商支付巨額費(fèi)用來(lái)購(gòu)買(mǎi)設(shè)備和技術(shù)。

O-RAN架構(gòu)旨在通過(guò)采用開(kāi)放的標(biāo)準(zhǔn)、接口和協(xié)議來(lái)實(shí)現(xiàn)互操作性和靈活性。開(kāi)放式RAN打破了系統(tǒng)的封閉性，允許運(yùn)營(yíng)商從不同的供應(yīng)商選擇設(shè)備和軟件，從而實(shí)現(xiàn)更高程度的網(wǎng)絡(luò)定制(例如，從一個(gè)供應(yīng)商購(gòu)買(mǎi)CU，然后從另一個(gè)供應(yīng)商獲得DU)。這允許更多的二、三線設(shè)備制造商參與進(jìn)來(lái)。

O-RAN不僅僅是開(kāi)放接口，它還通過(guò)基于人工智能的控制實(shí)現(xiàn)對(duì)下一代ran的開(kāi)放訪問(wèn)。本地網(wǎng)絡(luò)實(shí)體和RIC之間的開(kāi)放接口可以促進(jìn)無(wú)線電資源的實(shí)時(shí)感知、管理和響應(yīng)。然而，由于其開(kāi)放標(biāo)準(zhǔn)的性質(zhì)，O-RAN本質(zhì)上更容易受到攻擊和其他威脅，因此設(shè)計(jì)適當(dāng)?shù)陌踩珯C(jī)制非常重要。

O-RAN聯(lián)盟

O-RAN聯(lián)盟是一個(gè)開(kāi)放的技術(shù)組織，由移動(dòng)運(yùn)營(yíng)商、供應(yīng)商、研究組織和學(xué)術(shù)機(jī)構(gòu)組成，致力于推進(jìn)open RAN概念，該聯(lián)盟已經(jīng)設(shè)計(jì)了一套o(hù)pen RAN規(guī)范。

該聯(lián)盟之前與Linux基金會(huì)合作開(kāi)發(fā)了該規(guī)范的參考實(shí)現(xiàn)，稱為O-RAN SC, O-RAN SC規(guī)范是開(kāi)源的，其代碼來(lái)自愛(ài)立信、諾基亞、三星、Radisys和AT&T等頂級(jí)RAN供應(yīng)商。鑒于這種協(xié)作努力，許多供應(yīng)商更有可能將O-RAN SC代碼納入其商業(yè)產(chǎn)品中。

O-RAN架構(gòu)

O-RAN聯(lián)盟在其網(wǎng)站上提供了O-RAN架構(gòu)的概述，下圖顯示了O-RAN如何適應(yīng)5G網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。

O-RAN如何適應(yīng)5G網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

Near-RT RIC和RIC消息路由器(RMR)

Near-RT RIC使用E2接口來(lái)控制底層的RAN組件(包括CU、DU和RU)，可以將它看作OpenFlow在RAN中的對(duì)應(yīng)組件。E2接口的要求是能夠?qū)ear-RT RIC連接不同供應(yīng)商的不同類型的RAN組件。這個(gè)要求反映在圍繞服務(wù)模型(Service Model) 抽象的API中，其思想是每個(gè)RAN組件都發(fā)布一個(gè)服務(wù)模型，定義該組件能夠支持的RAN功能集。

Near-RTRIC是O-RAN體系結(jié)構(gòu)的重要組成部分之一，它對(duì)網(wǎng)絡(luò)中的RF資源進(jìn)行監(jiān)控和管理，以優(yōu)化網(wǎng)絡(luò)性能。它可以實(shí)時(shí)收集和分析網(wǎng)絡(luò)數(shù)據(jù)，還可以做出智能決策，優(yōu)化無(wú)線資源的配置，使這些資源能夠滿足不同終端設(shè)備和服務(wù)的需求。

在Near-RT的RIC中，還有許多其他子組件，如E2term、E2Mgr和xApps。這些組件之間的通信依賴于RIC Message Router (RMR)表，在Near-RT的RIC中，該表通常包含與消息的路由和管理相關(guān)的信息。這些表包括消息的目的地、優(yōu)先級(jí)、隊(duì)列和其他相關(guān)屬性等詳細(xì)信息。

RMR表包括以下信息：

消息目的地：指定應(yīng)將消息路由到何處以及應(yīng)處理該消息的實(shí)體或處理程序。優(yōu)先事項(xiàng)指示處理消息的優(yōu)先級(jí)，以確保重要消息得到更快的響應(yīng)。
排隊(duì)：用于存儲(chǔ)消息以供后續(xù)處理。
消息類型：標(biāo)識(shí)消息的類型，以便正確的處理程序能夠處理它。
消息標(biāo)識(shí)符：標(biāo)識(shí)消息的唯一值：它用于跟蹤消息狀態(tài)和處理進(jìn)度。

RMR庫(kù)是一組用于與RMR表交互的api，它包含在組成Near-RTRIC的組件中，例如xApp和E2Term。例如，兩個(gè)獨(dú)立xapp之間的交互將通過(guò)RMR進(jìn)行。在這種情況下，xApp_A將根據(jù)KPI信息做出判斷，然后通過(guò)RMR調(diào)用xApp_B。

下圖顯示了使用RMR庫(kù)和路由表的Near-RTRIC中組件之間的交互。

RIC組件如何使用RMR

我們的研究揭示了Near-RTRIC的消息傳遞基礎(chǔ)設(shè)施中的多個(gè)漏洞。

攻擊方法

在Near-RT的RIC中運(yùn)行，xApps是提供諸如無(wú)線電資源優(yōu)化、網(wǎng)絡(luò)監(jiān)控和性能增強(qiáng)等功能的軟件組件。這些組件可以由網(wǎng)絡(luò)運(yùn)營(yíng)商、第三方開(kāi)發(fā)人員或網(wǎng)絡(luò)設(shè)備供應(yīng)商進(jìn)一步開(kāi)發(fā)，以增加獨(dú)特的價(jià)值和功能。從這個(gè)意義上說(shuō)，xApps可以被認(rèn)為是所有O-RAN組件中最開(kāi)放的。

這種多廠商生態(tài)系統(tǒng)推動(dòng)了創(chuàng)新，但也帶來(lái)了以下挑戰(zhàn)：

安全xApp登錄；

互操作性；

魯棒性問(wèn)題；

通常情況下，xApps應(yīng)該來(lái)自多個(gè)供應(yīng)商。因此，我們開(kāi)始研究時(shí)假設(shè)xApps是一種潛在的攻擊媒介，xApp可能會(huì)通過(guò)供應(yīng)鏈或劫持引導(dǎo)進(jìn)程而受到攻擊。即使是良性的xApp，如果它發(fā)出意外的或異常的消息，也會(huì)造成傷害。我們的研究結(jié)果證實(shí)了這些假設(shè)。

RMR漏洞

CVE-2023-40998：來(lái)自xApp的精心制作的惡意數(shù)據(jù)包導(dǎo)致RT RIC的E2term崩潰。

CVE-2023-40998漏洞涉及錯(cuò)誤的數(shù)據(jù)包信息，可能導(dǎo)致解碼過(guò)程中的數(shù)據(jù)包大小為負(fù)，從而導(dǎo)致執(zhí)行內(nèi)存操作時(shí)崩潰。

CVE-2023-40998消息流

消息大小變?yōu)樨?fù)數(shù)的原因是它由數(shù)據(jù)包的前四個(gè)字節(jié)決定。如果設(shè)置不正確，它可能在解碼過(guò)程中導(dǎo)致負(fù)值，從而導(dǎo)致崩潰。

CVE-2023-40997：以無(wú)效格式發(fā)送的精心制作的消息導(dǎo)致Near-RTRIC的E2term崩潰。

CVE-2023-40997消息流

CVE-2023-40997發(fā)送報(bào)文無(wú)法正確解碼，導(dǎo)致內(nèi)存地址計(jì)算錯(cuò)誤，導(dǎo)致E2Term崩潰。

CVE-2023-41627：RMR表欺騙

E2Term依賴路由管理器定期發(fā)送的路由表信息來(lái)與RIC系統(tǒng)中的其他組件建立通信，但E2Term不會(huì)驗(yàn)證它接收到的路由表信息的發(fā)送方。由于缺乏驗(yàn)證，攻擊者可以通過(guò)向E2Term發(fā)送偽造路由表信息來(lái)利用CVE-2023-41627漏洞，通過(guò)使用路由管理器以更高的頻率將此信息發(fā)送給E2Term，攻擊者可以欺騙E2Term并中斷其與其他組件的通信。

CVE-2023-41627消息流

RMR劫持：兩個(gè)xapp使用相同的訂閱ID發(fā)送相同的消息類型

當(dāng)xApp_A向訂閱E2節(jié)點(diǎn)發(fā)送函數(shù)ID時(shí)，xApp_B向訂閱E2節(jié)點(diǎn)發(fā)送相同的函數(shù)ID。然后，xApp_A RMR表項(xiàng)將被覆蓋，這意味著它不能從E2節(jié)點(diǎn)接收消息。相反，E2節(jié)點(diǎn)將向第二個(gè)xApp_B發(fā)送消息。

O-RAN是通信網(wǎng)絡(luò)的關(guān)鍵組成部分，O-RAN節(jié)點(diǎn)存儲(chǔ)加密密鑰并處理用戶流量。

這里描述的兩個(gè)漏洞會(huì)導(dǎo)致DoS事件，它們與xApps、RMR和Near-RT的RIC有關(guān)。這些組件提供射頻資源優(yōu)化和流量管理等增值服務(wù)。

O-RAN設(shè)計(jì)用于在RIC/E2組件不可用的情況下進(jìn)行流量處理。理論上，RIC組件的崩潰不應(yīng)該關(guān)閉蜂窩連接。但是，這可能導(dǎo)致資源利用不暢和服務(wù)退化。

同時(shí)，RMR欺騙和劫持可以在不關(guān)閉任何組件的情況下破壞RIC中的xApp生態(tài)系統(tǒng)。這就造成了資源利用率低下和服務(wù)退化。

即使是良性的xapp也可能由于實(shí)現(xiàn)不當(dāng)而造成損害。這可能會(huì)對(duì)O-RAN中多廠商組件的互操作性產(chǎn)生不利影響。