Глобальный мобильный роуминг доступен из Интернета

Недавние проверки безопасности выявили, что сеть GPRSRoamingExchange (GRX), осуществляющая роуминг-трафик сотен операторов мобильной связи по всему миру, содержит интернет доступные хосты, на которых работают уязвимые и ненужные сервисы. Сканирование крупнейшего поставщика телекоммуникационных услуг в Нидерландах проводили в течение нескольких месяцев эксперты по безопасности Стивен Хо и Роб Китерс. Поводом проверки послужила просочившаяся в прессе информация о том, что британские спецслужбы GHCQ и сетевые инженеры от Belgacom, крупного бельгийского телекоммуникационного провайдера, получили доступ к GRX маршрутизаторам компании и перехватывают мобильный трафик в роуминге.

BICS, дочерняя компания Belgacom, является одним из примерно 25 GRX провайдеров, которые действуют в качестве центров для подключения мобильных операторов к своим роуминг-партнерам по всему миру.

Усилия по сканированию Хо и Китерса были направлены на определение того, насколько большой является глобальная GRX сеть и, насколько легко попасть в нее дистанционно, без ориентировки от сетевых инженеров. Они также хотели понять, какого рода информацию потенциально может получить злоумышленник, прослушивая трафик изнутри. Свои выводы команда представила в пятницу на конференции по безопасности в Амстердаме.

После сканирования выявили приблизительно 42 000 живых GRX хоста, 5500 из которых были доступны из интернета, хотя изначально GRX создавалась с намерением стать частной сетью, которая обслуживает только надежных операторов мобильной связи.

Более детальный анализ узлов с выходом в Интернет показал, что в дополнение к таким услугам, как GTP (GPRS Tunneling Protocol) и DNS (Domain Name System) есть также много других неожиданных сервисов, в том числе SMTP (простой протокол передачи почты), протокол передачи файлов (FTP), HTTP (протокол передачи гипертекста), Telnet, протокол SMB (Server Message Block) и SNMP (простой протокол управления сетью). Во многих случаях эти услуги были выполнены с использованием устаревшего программного обеспечения с известной критической уязвимостью выполнения удаленного кода, как старые версии BIND, Exim, Sendmail, OpenBSD ftpd, ProFTPD, VxWorks FTPd, Apache, Microsoft IIS, Oracle HTTP Server, Samba и другие.

По мнению двух исследователей, похоже, что некоторые операторы принесли их в GRX-сеть с оргтехникой, которая, как правило, должна использоваться только для выполнения трафика в роуминге. Кроме того, как считают Хо и Китерс, чтобы получить доступ к сети GRX злоумышленникам не требуется даже что-то выдумывать. Они могут использовать находящиеся в свободном доступе инструменты такие, как Metasploit, говорят исследователи.

Как только хост атакован, злоумышленники попадают в GRX-сеть и получают доступ к GTP трафику, проходящему через него. Если кто-то прослушивает этот пользовательский трафик, он может извлечь идентификаторы сеанса, учетные данные, просматривать картинки, URL-адреса, файлы, а также сведения, которые могут быть использованы для отслеживания пользователей и определения их мобильных устройств.

Сведения о местоположении, отправляемые в рамках GTP трафика каждого пользователя включают в себя код страны, код мобильной сети, сотовые идентификаторы, международный идентификатор мобильного абонента (IMSI) и коды зон местонахождения. Оба эксперта по безопасности показали, что, получив все эти данные, они могут отслеживать местоположение пользователя на карте.