Salt Typhoon के बाद telecom stack की असुरक्षा

 (soatok.blog)
1 पॉइंट द्वारा GN⁺ 2025-03-14 | 1 टिप्पणियां | WhatsApp पर शेयर करें

  • telecom stack की कमजोरियाँ

    • पृष्ठभूमि: पिछले साल के अंत में, "Salt Typhoon" नाम के एक समूह ने T-Mobile और अन्य telecom कंपनियों को हैक किया। इस घटना ने telecom-संबंधित open source software की सुरक्षा की समीक्षा करने का कारण दिया.

  • FreeSWITCH की XMLRPC लाइब्रेरी में buffer overflow

    • समस्या: FreeSWITCH की XMLRPC लाइब्रेरी में HTTP request handler, 4096-byte stack variable में मनमानी लंबाई का URI लिखता है। इसका मतलब है कि हमलावर 4096 अक्षरों से लंबा URI भेज सकता है, जिससे buffer overflow vulnerability पैदा हो सकती है.

    • समाधान: snprintf() का उपयोग करके defensive C programming लागू की जानी चाहिए.

  • Soatok का vulnerability disclosure प्रयास

    • 2025-01-27: FreeSWITCH की security policy में दिए गए email address पर vulnerability का विस्तृत विवरण भेजा गया.

    • 2025-02-07: यह पुष्टि करने के लिए follow-up email भेजा गया कि report प्राप्त हुई या नहीं.

    • प्रतिक्रिया: Andrey Volk ने जवाब दिया कि vulnerability हाल ही में ठीक कर दी गई है। हालांकि, नया security fix version tag नहीं किया गया था.

  • सामने आई समस्या

    • SignalWire के एक कर्मचारी ने कहा कि FreeSWITCH Advantage नहीं खरीदने वाले users गर्मियों तक vulnerable बने रहेंगे। इसका मतलब है कि telecom stack के हजारों deployment असुरक्षित स्थिति में रह सकते हैं.

  • telecom security की प्रणालीगत समस्या

    • कारण: telecom system security में निवेश करने के लिए आर्थिक प्रोत्साहन की कमी है। यही वजह है कि telecom security आज भी कमजोर बनी हुई है.

    • भविष्य की संभावना: Rust में FreeSWITCH का कोई प्रतिस्पर्धी विकसित किया जा सकता है, या अमेरिका के telecom infrastructure की सुरक्षा में निवेश करने की राजनीतिक इच्छा पैदा हो सकती है.

  • समापन विचार

    • यह समस्या अपने आप में एक साधारण तकनीकी मुद्दा है, लेकिन इसके पीछे इससे भी बड़ी समस्या होने की संभावना है। SignalWire की प्रतिक्रिया निराशाजनक थी, फिर भी उसने 90 दिनों के भीतर जवाब दिया और GitHub पर समस्या को ठीक किया। FreeSWITCH stack के public HTTP access को firewall स्तर पर block करने जैसे कदमों पर विचार किया जा सकता है.

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2025-03-14
Hacker News राय

  • लेखक मानते हैं कि उनके पास carrier-स्तर के infrastructure का अनुभव नहीं है, लेकिन उनका संदेह मूल रूप से सही है

    • कई प्रमुख telecom carriers के लिए 4G और 5G security testing और research करने का अनुभव है
    • carrier और product vendor पर निर्भर करता है, लेकिन security अब भी बहुत कमजोर है
    • हाल तक security पूरी तरह obscurity पर निर्भर थी, और 4G व 5G standards ने इसे सुधारना शुरू किया है, लेकिन अभी भी बड़े कमजोर बिंदु मौजूद हैं
    • मध्यम स्तर का threat actor carrier में घुसपैठ कर सकता है, इसकी संभावना काफी अधिक है
    • एक विशेष पूर्वी एशियाई देश के hardware vendors का software इतना खराब तरीके से लिखा गया है कि security लगभग न के बराबर है
    • पश्चिमी hardware vendors के पास अधिक mature software है, लेकिन वे अब भी modern security best practices से पीछे हैं

  • 2025 में भी mobile phone standards में pre-shared keys का उपयोग होना अब भी समझ से परे है

    • RSA और Diffie Hellman जैसे algorithms दशकों से मौजूद हैं
    • SIM cards अब भी ऐसे pre-shared keys के साथ सेट किए जाते हैं जिन्हें सिर्फ card और operator जानते हैं, और सारी authentication व encryption इन्हीं keys पर आधारित होती है
    • अगर operator hack हो जाए और keys चोरी हो जाएँ, तो उससे निपटने का कोई तरीका नहीं है
    • SIM card manufacturer को operator को keys भेजनी पड़ती हैं, इसलिए इस प्रक्रिया में hacking या key theft का मौका मौजूद रहता है
    • अगर SIM manufacturer या core network equipment vendor NSA के साथ मिलकर keys दे दे, तो दुनिया भर के mobile phone traffic की निगरानी संभव हो सकती है

  • यह blog post का निष्कर्ष कि Freeswitch community release schedule से पीछे नहीं हट रहा, बिल्कुल भी चौंकाने वाला नहीं है

    • Freeswitch में एक मजबूत community spirit हुआ करती थी
    • कुछ साल पहले से यह अधिक आक्रामक commercial direction की ओर मुड़ा, और तब से स्थिति बदल गई
    • अब कुछ चीज़ों तक पहुँचने के लिए "registration" करना पड़ता है, और इससे किसी commercial company को personal information देने में झिझक होती है

  • विदेशी threat actors, Five Eyes/अन्य पश्चिमी समझौतों, और revenue बढ़ाने के दबाव के बीच, यह मान लेना उचित है कि online असली anonymity जैसी कोई चीज़ नहीं है

    • यह pre-internet era से बहुत अलग नहीं है
    • महत्वपूर्ण जानकारी की रक्षा करनी हो, तो उसे ऐसे तरीके से encrypt करना चाहिए जिसे electronically access करना कठिन हो

  • Freeswitch का एक ऐसा क्षेत्र जहाँ इसे अक्सर support contract के बिना इस्तेमाल किया जाता है, वह है schools और universities में BigBlueButton installations

    • carriers की तुलना में इन्हीं को लेकर ज़्यादा चिंता होती है

  • "आज telecom security बहुत खराब है" इस दावे पर पूरी तरह भरोसा नहीं है

    • Freeswitch को यूँ ही चुनकर buffer overflow ढूँढ लेना, अपने आप में कमज़ोर सबूत है
    • कहा जाता है कि Salt Typhoon attack ने Cisco vulnerabilities का दुरुपयोग किया, लेकिन analysts का सुझाव है कि attackers ने वैध credentials का इस्तेमाल किया था

  • सोचने वाली बात है कि XML RPC module का इस्तेमाल कितने लोग करते हैं

    • यह default रूप से load नहीं होता
    • Shodan के अनुसार 468 लोग इसका उपयोग कर रहे हैं

  • CAMEL MAP injection से वास्तव में बहुत अच्छे hacks होते हैं

    • यह SMS, USSD, location services जैसी कई सुविधाओं को नियंत्रित करता है
    • कैरिबियन के समृद्ध द्वीपों और Indonesia के "bulk SMS" providers spam भेजने से कहीं ज़्यादा काम करते हैं

  • प्रमुख telecom carriers अपने core में FreeSwitch या Asterisk नहीं चलाते

  • mobile telecom security पर P1 Security की presentations देखने की ज़ोरदार सिफारिश है

    • सामग्री पुरानी है, लेकिन यह मानने की कोई वजह नहीं कि स्थिति बेहतर हुई है
    • software security vulnerabilities समस्या का सिर्फ एक हिस्सा हैं, और carriers नियंत्रण व महत्वपूर्ण access को सबसे कम बोली लगाने वालों को outsource कर देते हैं