Salt Typhoon後に浮き彫りになった通信スタックの不安定性

 (soatok.blog)
1 ポイント 投稿者 GN⁺ 2025-03-14 | 1件のコメント | WhatsAppで共有

  • 通信スタックの脆弱性

    • 背景: 昨年末、「Salt Typhoon」と呼ばれるグループがT-Mobileや他の通信会社をハッキングする事件が発生した。この事件をきっかけに、通信関連のオープンソースソフトウェアの安全性が見直されることになった。

  • FreeSWITCHのXMLRPCライブラリにおけるバッファオーバーフロー

    • 問題点: FreeSWITCHのXMLRPCライブラリでは、HTTPリクエストハンドラが4096バイトのスタック変数に任意長のURIを書き込む。これにより、攻撃者が4096文字を超えるURIを送信でき、バッファオーバーフローが発生しうる脆弱性となっている。

    • 対処方法: snprintf()を使用し、防御的なCプログラミングを適用する必要がある。

  • Soatokによる脆弱性開示の試み

    • 2025-01-27: FreeSWITCHのセキュリティポリシーに記載されたメールアドレス宛てに、脆弱性の詳細を送付した。

    • 2025-02-07: フォローアップメールを送り、レポートを受領したか確認した。

    • 応答: Andrey Volkは、脆弱性は最近修正されたと回答した。しかし、新しいセキュリティ修正版にはタグが付けられていなかった。

  • 発生した問題

    • SignalWireの従業員は、FreeSWITCH Advantageを購入していないユーザーは夏まで脆弱な状態のままになると明らかにした。これは、数千の通信スタックが脆弱な状態のまま残る可能性を意味する。

  • 通信セキュリティの構造的問題

    • 問題の原因: 通信システムのセキュリティに投資するための経済的インセンティブが不足している。これが、通信セキュリティが今日に至るまでなお脆弱である理由だ。

    • 今後の可能性: RustでFreeSWITCHの競合製品を開発したり、米国の通信インフラの安全性に投資する政治的意思が生まれたりする可能性がある。

  • 締めくくりの考察

    • この問題は単なる技術的課題だが、その背後にはさらに大きな問題が存在する可能性がある。SignalWireの対応は失望を招いたものの、それでも90日以内に応答し、GitHubで問題を修正した。FreeSWITCHスタックへの公開HTTPアクセスをファイアウォールレベルで遮断するといった対策を検討できる。

関連記事

1件のコメント

 
GN⁺ 2025-03-14
Hacker Newsの意見

  • 筆者は通信事業者レベルのインフラ経験がないことを認めているが、その疑念は本質的には正しい

    • 複数の主要通信事業者に対して4Gおよび5Gのセキュリティテストと調査を実施した経験がある
    • 通信事業者や製品ベンダーによって差はあるが、セキュリティは依然として非常に脆弱である
    • 最近までセキュリティは完全に秘匿性への依存に基づいており、4Gと5Gの標準がこれを解決し始めたものの、依然として大きな脆弱性が存在する
    • 中程度の脅威アクターでも通信事業者に侵入できる可能性が高い
    • 特定の東アジア国家のハードウェアベンダーは、ソフトウェアの作りがあまりに粗悪で、セキュリティがほとんど存在しない
    • 西側のハードウェアベンダーはより成熟したソフトウェアを持っているが、それでも現代的なセキュリティのベストプラクティスには遅れている

  • 2025年になってもなお、モバイル電話の標準で事前共有鍵が使われているのは理解しがたい

    • RSAやDiffie Hellmanのようなアルゴリズムは何十年も前から存在している
    • SIMカードは今でもカードと通信事業者だけが知る事前共有鍵で設定されており、すべての認証と暗号化はこの鍵に基づいている
    • 通信事業者がハッキングされて鍵を盗まれた場合、対処する方法がない
    • SIMカードメーカーは通信事業者に鍵を送る必要があるため、この過程にはハッキングや鍵の窃取の機会が存在する
    • SIMメーカーや中核ネットワーク機器ベンダーがNSAと協力して鍵を提供すれば、世界中のモバイル電話トラフィックを傍受できる可能性がある

  • Freeswitchがコミュニティリリースのスケジュールから後退しないというブログ記事の結論は、まったく驚くことではない

    • Freeswitchには強いコミュニティ精神があった
    • 数年前から、より攻撃的な商業路線へと転換する中で状況が変わった
    • 今では"登録"を通じてアクセスしなければならないものがあり、これは商業企業に個人情報を渡すことへの抵抗感を生んでいる

  • 外国の脅威アクター、Five Eyesやその他の西側協定、そして収益拡大の要求を考えれば、オンラインに真の匿名性はないと想定するのは妥当である

    • インターネット以前の時代と大きくは変わらない
    • 重要な情報を保護したいなら、電子的にアクセスしにくい方法で暗号化する必要がある

  • Freeswitchがサポート契約なしでよく使われる分野は、学校や大学でのBigBlueButton導入である

    • 通信事業者よりも、こちらのほうが心配である

  • 「通信セキュリティは今日ひどい」という主張については、完全には確信していない

    • Freeswitchを無作為に選んでバッファオーバーフローを見つけたというのは弱い証拠である
    • Salt Typhoon攻撃はCiscoの脆弱性を悪用したと主張されているが、アナリストは攻撃者が適切な認証情報を使っていた可能性を示唆している

  • XML RPCモジュールを使っている人がどれほどいるのか気になる

    • デフォルトではロードされない
    • Shodanによれば、468人が使用中である

  • CAMEL MAPインジェクションでは本当に見事なハッキングが起きている

    • SMS、USSD、位置情報サービスなど、さまざまな機能を制御する
    • 裕福なカリブ海の島々やインドネシアの「大量SMS」プロバイダーは、スパム送信以上のことをしている

  • 主要な通信事業者は、コアでFreeSwitchやAsteriskを運用していない

  • P1 Securityによるモバイル通信セキュリティ関連のプレゼンテーションは、ぜひ確認することを強く勧める

    • 古い資料ではあるが、改善されたと信じる理由はない
    • ソフトウェアのセキュリティ脆弱性は問題の一部にすぎず、通信事業者は統制や重要なアクセス権を最低入札者にアウトソースしている