Se ha detectado una compañía de vigilancia que explota una sofisticada técnica de derivación SS7 para rastrear las ubicaciones de los usuarios de teléfonos móviles.
El ataque aprovecha las vulnerabilidades previamente desconocidas en la capa TCAP (parte de la aplicación de capacidades de transacción) de las redes SS7 para eludir las protecciones de seguridad implementadas por los operadores móviles de todo el mundo.
Control de llave
1. Los comandos SS7 malformados enmascaran el IMSI para habilitar el seguimiento de la ubicación.
2. Una etiqueta TCAP extendida (30 13 9f 00 08) evade los firewalls Legacy SS7.
3. En uso desde el cuarto trimestre de 2024, esta exploit ha filtrado ubicaciones de suscriptores.
Bypass SS7 Security and Track IMSI
El ataque explota una característica poco conocida en ASN.1 BER (reglas de codificación básica) codificando dentro de la capa de protocolo TCAP.
Los atacantes manipulan la estructura del código de etiqueta de los elementos de información TCAP que contienen datos IMSI (identidad de suscriptor móvil internacional) mediante el uso de un método de codificación de etiqueta extendida. En lugar de la secuencia de codificación estándar 30 12 80 08, los paquetes maliciosos usan 30 13 9f 00 08, extendiendo efectivamente el código de etiqueta más allá de su formato normal de un solo octetado.
Estructura de mensajes TCAP detallada
Esta técnica se dirige específicamente a los comandos de PSI (proporcionaCRiberInfo), que son operaciones legítimas de GSM-MAP utilizadas por los operadores móviles para el seguimiento de la ubicación y la gestión de la movilidad.
La codificación de etiqueta extendida hace que el campo IMSI, que identifica al usuario objetivo, se vuelva ilegible para muchos sistemas de seguridad de señalización.
Cuando los firewalls de seguridad no pueden decodificar el IMSI correctamente, no pueden aplicar las comprobaciones de red de redacción de hogares cruciales que deben bloquear las solicitudes de ubicación no autorizadas.
Desglose del componente TCAP con ataque
La compañía de vigilancia detrás de estos ataques ha integrado esta técnica de manipulación TCAP en su conjunto de herramientas operativas desde al menos el cuarto trimestre de 2024.
Su método implica enviar solicitudes de PSI malformadas con códigos de etiqueta extendidos de redes externas, dirigirse a suscriptores de redes domésticas cuyas ubicaciones normalmente deben protegerse de consultas externas.
El ataque tiene éxito porque muchas pilas de software SS7 nunca fueron diseñadas para manejar códigos de etiqueta TCAP extendidos, ya que este método de codificación rara vez se ha utilizado en más de 40 años de operaciones TCAP.
Además, los sistemas Legacy SS7 a menudo adoptan un enfoque permisivo para los campos no decodificables, lo que permite que los paquetes pasen si se pueden enrutar, dejando las responsabilidades de decodificación para finales finales.
Wireshark del mensaje de ataque
La unidad de inteligencia de amenazas de Enea tiene confirmado La explotación exitosa de esta vulnerabilidad en escenarios del mundo real, observando ataques completos de seguimiento de ubicación donde las solicitudes de PSI solicitaron medidas de seguridad y datos de ubicación de suscriptores devueltos.
La técnica representa parte de un conjunto de métodos de derivación en evolución que emplean las compañías de vigilancia para derrotar a las defensas de seguridad de señalización.
Para abordar esta amenaza, los expertos en seguridad recomiendan bloquear todas las estructuras de PDU malformadas e implementar una detección mejorada para las PDU MAP donde los campos IMSI esperados no pueden decodificarse.
La comunidad GSMA ha sido alertada de esta vulnerabilidad, con recomendaciones distribuidas para ayudar a los operadores móviles a fortalecer su postura de seguridad de señalización.
Este descubrimiento destaca la carrera armamentista en curso entre las entidades de vigilancia y la seguridad de las telecomunicaciones, a medida que los atacantes continúan explotando las complejas estructuras de protocolo ASN.1 inherentes a las redes SS7 para evadir la detección y mantener el acceso no autorizado a la información sensible del suscriptor.
Aumentar la detección, reducir la fatiga de alerta, acelerar la respuesta; Todo con una caja de arena interactiva construida para equipos de seguridad -> Prueba cualquiera.
