5Ghoul: Qualcomm 5G modem vulnerabilities (CVE-2023-33042 / 33043 / 33044)¶
Sahte bir gNB, pre-authentication aşamasında bozuk RRC, MAC/RLC veya NAS taşıyan downlink frame'leri inject ederek Qualcomm X55/X60 5G modem'lerini crash ettirir, servisi kesintiye uğratır (DoS) veya 5G'den 4G'ye downgrade eder.
Mechanism¶
Note
5Ghoul ailesinin Qualcomm üyeleri (ASSET Research Group, NUS tarafından açıklandı) MediaTek kardeşleriyle aynı invariant ihlalini exploit eder: 5G modem, NAS-layer authentication network'ün kimliğini kanıtlamadan önce havadan alınan control-plane mesajlarına göre davranır.
RRC connection setup sırasında Qualcomm Snapdragon X55/X60 modem firmware'i
ASN.1 RRC yapılarını (pdcch-Config) parse eder, MAC/RLC PDU'larını
reassemble eder ve dlInformationTransfer içinde teslim edilen NAS PDU'larını
relay eder. Bu parsing/dispatch path'lerinin her biri, conformant bir
network'ün her zaman karşılayacağı field değerleri, header tipleri ve message
identifier'ları hakkında varsayımlar yapar. Kurban'ın camp ettiği cell
üzerindeki bir rogue gNB bu varsayımları ihlal edebilir.
İki farklı sonuç ortaya çıkar. CVE'lerin çoğu modem'i abort ettiren bir
reachable assert'e çarpar; bu bir crash/reboot ve geçici denial of
service üretir. CVE-2023-33042 farklıdır ve muhtemelen daha tehlikelidir:
bozuk bir pdcch-Config modem'i crash ettirmez ama onu herhangi bir 5G
bağlantısını tamamlayamaz halde bırakarak cihazı 4G/LTE'ye geri düşmeye
(fall back) zorlar — bu, kurban'ı 4G stack'inin daha geniş ve daha eski
attack surface'ine maruz bırakan bir downgrade attack'tir. Aşılan trust
boundary, pre-auth downlink signaling'in iyi niyetli bir cell'den geldiği
örtük varsayımıdır.
Walkthrough¶
ASSET ekibi bunları over-the-air fuzzing ile keşfetti: bir rogue gNB ve 5G core (OpenAirInterface + Open5GS) canlı bir hedef handset'e mutate edilmiş downlink frame'leri besler ve modem crash, DoS veya downgrade için izler.
Açıklamadan Qualcomm tarafındaki CVE'ler ve trigger'lar:
| CVE | Kısa ad | Bug sınıfı | Trigger (katman) |
|---|---|---|---|
| CVE-2023-33042 | Invalid RRC pdcch-Config ile 5G'yi devre dışı bırakma / downgrade | Hang / state corruption | pdcch-Config içinde invalid optional bit'ler içeren RRC Setup (tpc-PUCCH) |
| CVE-2023-33043 | Invalid MAC/RLC PDU | Reachable assert | Bozuk RLC Status PDU; MAC header değiştirilmiş (ör. 0x41 DL-SCH -> 0xB5) |
| CVE-2023-33044 | NAS unknown PDU | Reachable assert | dlInformationTransfer içinde invalid NAS PDU (ör. üçüncü byte 0xC0'dan değiştirilmiş, NAS Authentication Request) |
Downgrade path'i (CVE-2023-33042) kavramsal olarak şöyle görünür:
[rogue gNB] -- RRC Connection Setup (pdcch-Config tpc-PUCCH mutated) --> [victim UE]
[X55/X60 modem] -- enters bad state --> all 5G connection attempts fail
[victim] -- falls back --> 4G/LTE (attacker now targets the LTE surface)
Observed effects
- CVE-2023-33042: modem state reset edilene kadar cihaz artık herhangi bir 5G network'e attach olamaz; pratikte kullanıcı 4G'ye itilir.
- CVE-2023-33043 / 33044: modem crash olur ve kendiliğinden recover eder; sürekli DoS, attacker'ın rogue cell aktif kalırken her re-attach'te bozuk frame'i tekrar inject etmeye devam etmesini gerektirir.
Warning
Bu frame'leri yayınlamak 5G spectrum üzerinde aktif bir rogue gNB gerektirir. Bunu shielded bir lab dışında yapmak yasa dışıdır ve meşru kullanıcılara interferans verir. Yalnızca yetkiyle, bir Faraday/test ortamında yeniden üretin.
Detection¶
Aniden 5G'yi reddedip ısrarla 4G'ye camp eden modem'lere, tekrarlayan baseband reset'lerine veya RRC re-attach fırtınalarına dikkat edin — özellikle bilinen bir PLMN reklamı yapan tanınmayan bir gNB gözlendiğinde. Rogue-base-station detection araçları yetkisiz cell'i işaretleyebilir.
Mitigation¶
Qualcomm, etkilenen chipset modelleri genelinde patch'ler yayınladı (Qualcomm 70+ chipset'in etkilendiğini belirtti); düzeltmeler kullanıcılara OEM security update'leri üzerinden ulaşır. Defense in depth: pre-auth RRC/MAC/RLC/NAS parser'larını bozuk encoding'lere karşı hardening yapın, abort eden assert'leri recover edilebilir error handling'e dönüştürün ve handset security patch seviyesini güncel tutun. Mümkün olduğunda, beklenmedik 5G->4G downgrade'leri izlemek ve bunlara direnmek CVE-2023-33042'ye maruziyeti azaltır.