Почему этот сбой называют zero-click?

Потому что для запуска ошибки не нужно вовлекать абонента или заставлять его что-то открыть. Достаточно отправить служебный пакет в ядро сети, если есть доступ к нужному сетевому пути.

Что именно сломалось в Open5GS?

Проблема возникла в обработке S1SetupRequest: код ожидал обязательный элемент Global-ENB-ID, но не проверил его наличие до конца. В итоге внутренняя переменная осталась пустой, а аварийная проверка уронила процесс.

Можно ли считать такую дыру чисто лабораторной?

Нет. Даже если конкретный сценарий сложнее воспроизвести в крупной сети, сама ошибка типовая и опасная для частных и тестовых телеком-решений. Там часто меньше ресурсов на фаззинг, ревью и долгую эксплуатационную проверку.

Zero-click уязвимость в Open5GS: разбор инцидента

Раньше такие сбои считали редкой бедой лабораторных стендов: мол, без доступа к абоненту и без сложной подготовки ядро связи не уронить. Разбор Open5GS показал обратное — один корректно собранный пакет может вывести из строя MME, если разработчик слишком доверился стандарту и не проверил поля до конца.

История инцидента

Автор исследования разобрал уязвимость в open-source ядре мобильной связи Open5GS. Речь идет о сбое в компоненте MME, который обрабатывает служебные сообщения LTE-сети и отвечает за управление мобильностью абонентов.

Сценарий выглядит почти обидно просто: атакующий действует от лица базовой станции и отправляет приветственный пакет S1SetupRequest. Если из него убрать обязательный элемент Global-ENB-ID, парсер пропустит сообщение, но внутренняя переменная останется пустой. Дальше сработает аварийная проверка, и процесс MME завершится с ошибкой.

Автор ссылается на CVE-2023-37017 и версию Open5GS 2.6.4 и ниже. Важно другое: в этой истории не было ни экзотической криптографии, ни магии радиочастот. Баг родился из обычной логической ошибки — кода, который поверил стандарту больше, чем собственным проверкам.

Что пошло не так в защите

Главная проблема — в ложном допущении. Раз пакет прошел декодирование, значит, все обязательные поля на месте. На практике это опасная мысль: валидный на вид контейнер может оставаться неполным по смыслу.

Вторая ошибка — отсутствие жесткой проверки на NULL перед использованием значения. В статье это описано прямо: после разбора пакета значение Global_ENB_ID могло остаться пустым, а затем код доходил до ogs_assert(NULL). Для продакшн-системы такой сценарий равен падению процесса, а не аккуратной обработке ошибки.

Третья слабость — хрупкость всей цепочки вокруг парсинга ASN.1 APER. Этот формат требует точного соблюдения структуры и длин полей, поэтому его любят атакующие: любое неосторожное допущение в разборе бинарного протокола быстро превращается в аварийное завершение сервиса. Подобные ошибки мы уже разбирали на другом классе логических багов в материале почему безопасность в релизе обходится дороже и что с этим делать.

Отдельная деталь — экспериментальная среда автора. Он собрал уязвимую версию на Ubuntu 22.04 LTS, уперся в проблемы с MongoDB и поднимал компоненты ядра вручную. Это хороший штрих к картине: лабораторный стенд нередко вскрывает не только баг в коде, но и накопленные риски в эксплуатации, где всё держится на старых пакетах, ручной сборке и устаревших зависимостях.

Уроки для читателя

Первый урок касается не только телекома. Если приложение принимает сложный бинарный формат, нельзя полагаться на то, что схема или спецификация «гарантируют» заполненность поля. Любое обязательное значение нужно проверять явно, а не надеяться на идеальный пакет.

Второй урок — аварийные проверки не заменяют нормальную валидацию. assert полезен в тестах, но в рабочем контуре он легко превращается в кнопку самоуничтожения, если недостоверные данные доходят до бизнес-логики.

Третий урок — open-source не равен автоматически «безопасно» или «ненадежно». Наоборот, открытый код дает шанс быстрее найти и закрыть дыру, если проект регулярно тестируют, гоняют через фаззинг и держат в тонусе ревью. Похожая логика работает и в других атаках на инфраструктуру — от уязвимых роутеров до серверных компонентов, о чем мы писали в разборе атакующей цепочки C0XMO.

Наконец, у этой истории есть прикладной вывод для обычных компаний. Если вы используете телеком-решения, частные LTE-платформы или любые сервисы со сложным сетевым стеком, проверьте, кто и как обновляет ядро, как часто тестируют патчи и есть ли у команды сценарии отказоустойчивости.

Для удаленных команд и подрядчиков полезен набор базовой цифровой гигиены: менеджер паролей, двухфакторная аутентификация и [инструмент для защиты переписки от пассивного перехвата]https://freedome.space. Это не лечит баги в ядре связи, но снижает ущерб от кражи учетных данных и случайной утечки трафика.

Практические выводы и чек-лист

Если упростить кейс до одного вывода, он такой: сложная сеть ломается не только от мощной атаки, но и от одной плохо проверенной развилки в коде. Для администратора, разработчика или безопасника это повод пересмотреть не абстрактные «риски», а вполне конкретные места в цепочке обработки данных.

Проверьте, где в ваших системах бинарные пакеты проходят разбор без повторной валидации обязательных полей.
Найдите места, где аварийные проверки могут уронить процесс вместо мягкой обработки ошибки.
Обновите компоненты, которые работают со сложными сетевыми протоколами, и отдельно проверьте версии библиотек парсинга.
Настройте регулярное тестирование на некорректные и усеченные входные данные.
Для сервисов связи и промышленной сети держите план отката и резервный контур, чтобы сбой одного узла не валил весь сегмент.
Если в компании есть удаленные сотрудники, проверьте связку: менеджер паролей, 2FA и защищенный канал для рабочих подключений.
Не храните критичные секреты в старых стендах и тестовых средах без отдельного контроля доступа.
Разберите логи аварийных завершений: они часто показывают не симптом, а точку входа для атаки.