E2介面存在資安漏洞　O-RAN xApp威脅不可輕忽

2024-04-26

Near-RT RIC是O-RAN架構的重要元件之一，透過E2介面與其他元件進行互連。本文將說明E2介面所面臨的相關漏洞及風險，分析xApp可能造成的攻擊影響，並提供應對xApp威脅的建議做法。

Getty Images

本文將討論E2介面(Interface)的潛在威脅，該介面連接近即時智慧控制器(Near-RT RIC)與其他RAN元件(圖1)。Near-RT RIC為O-RAN架構的重要通訊功能模組之一，主要負責監視和管理網路中的資源以優化網路效能。

對E2介面的成功攻擊可能導致E2服務無法正常執行或是執行異常行為，進一步降低行動網路的效能。本文將討論在O-RAN Software Community中的兩個漏洞(Vulnerabilities)。一個漏洞源自於存取控制管理不足，另一個漏洞則源自於錯誤的訊息處理(CVE-2023-41628)。

此攻擊媒介(Attack Vector)來自於延伸應用程式(eXtended Application, xApp)到其他O-RAN元件，而該媒介在MITRE FiGHT資安框架中稱為Rogue xApp unauthorized access^[1]。

RIC及E2介面

在O-RAN架構中，Near-RT RIC主要負責監視和管理網路中的無線資源，以優化整體網路效能。Near-RT RIC之中的其他子通訊功能模組包括E2Term、E2Mgr和xApp等共同執行特定應用功能。

Near-RT RIC透過E2介面與開放式分散單元(O-DU)和開放式中央單元(O-CU)等其他O-RAN元件互連，而這些透過E2介面連結的RAN元件也稱為E2節點。

E2Term為Near-RT RIC中的軟體元件，除了作為RAN的其中一項功能，也為RAN的節點提供E2介面。E2節點使用E2應用協定(E2AP)，透過E2介面與E2Term進行溝通。隨後，E2Term透過RIC Message Router(RMR)的服務，將訊息發送至指定的xApp。

xApp為獨立運作的軟體元件，讓Near-RT RIC能夠做出最有效的決策。車聯網(V2X)為O-RAN的應用案例之一，車輛終端設備(UE)需要的行動通訊流量管理十分特別，而xApp功能是V2X應用案例中最理想的功能選擇之一^[2]。

xApp可能來自於許多不同的供應商，因此xApp可能會經由供應鏈或劫持部署的流程而受到損害。即便是一個無害的xApp，如果送出了任何異常的訊息，仍可能對系統造成損害。由於xApp本身的特性及其受到攻擊的多種可能方式，xApp長期為研究重點。

xApp到Near-RT RIC的流程(圖2)如下：

xApp發送訂閱要求至RIC：xApp發送一個訂閱要求至RIC，指定其有興趣監控或接收更新的事件、指標或資訊。
RIC處理訂閱要求：RIC的訂閱管理器會處理來自xApp的訂閱要求，並確定哪些E2相關的節點需要參與此訂閱需求。
RIC與E2節點通訊：在路由管理器(Routing Manager)的協助下，RIC使用E2介面對E2節點發送特定的訊息或請求。這些訊息可能包括開始監控特定事件、獲取測量數據，或執行與無線網路相關的其他操作。
E2節點回應RIC：E2節點接收來自RIC的訊息並處理對應的請求。例如，E2節點可能會開始監控特定的區域、收集性能指標，或根據訂閱條件提供更新。
RIC向xApp發送更新：當事件發生或指標滿足某些條件時，RIC從E2節點接收更新。接著，RIC向xApp發送通知或指令，讓xApp獲得相關的資訊或更新。

E2Term充當各E2節點之間發送和接收E2訊息的閘道(Gateway)。

E2服務面臨的風險

以下說明趨勢科技(Trend Micro)及其子公司訊勢科技(CTOne)和國立台灣科技大學合作進行研究，發現的三種E2服務風險。

訊息亂序的漏洞

在網路中，各種原因皆可能導致訊息亂序(Out-of-Order)：有時是因為訊息在傳輸過程中遺失，有時是因為發送端故障，或者因為攻擊者注入了這些異常的訊息。如果未能妥善處理，亂序的訊息可能會干擾接收端的處理流程，導致意外狀況。研究團隊在ORAN-SC的RIC子系統中發現與訊息亂序相關的漏洞(CVE-2023-41628)。

當E2Term收到一個沒有提出的RIC訂閱要求的RIC訂閱回應時，其將崩解；這與RIC訂閱回應的發送方是誰無關。通常，RIC訂閱要求由xApp發送，RIC訂閱回應則由E2節點發送。最初，研究發現來自E2節點的亂序RIC訂閱回應將導致E2Term崩解；

不過，研究接著發現即使是xApp也可以透過發送RIC訂閱回應來觸發E2Term崩潰(圖3)。

節點缺乏存取控制的漏洞

除了正式的協定訊息之外，可能還存在其他可用於存取節點的API，無論有意或無意。這些API可能包含管理或除錯等目的。與已知的API不同，這些API可能並非廣為人知，也沒有被詳細記錄或是受到身分驗證和授權要求的限制，因此可能因為節點缺乏存取控制而帶來資安風險(圖4)。研究發現了一個這樣的API，用於存取E2Mgr，其功能是關閉所有與其節點的連線。

暴露的HTTP API可以從任何xApp被調用，進而關閉Near-RT RIC的所有E2服務。

對於E2Term的ARP欺騙

ARP(Address Resolution Protocol)是網路節點在已知其IP位址時，用於識別其他節點媒體存取控制(MAC)位址的機制。在乙太網路中，由於節點必須知道其對接節點的MAC以建立通訊，此過程是必要的。ARP協助將已知IP位址轉換為相應MAC位址的過程。

ARP欺騙(Spoofing)是一種攻擊類型，攻擊者將發送偽造的位址解析協定(Address Resolution Protocol)訊息。ARP欺騙的目標是將攻擊者的MAC位址與合法網路裝置的IP位址串聯起來，透過攻擊者的系統重新定向原本發送給該合法裝置的流量。

研究團隊的測試發現，一個xApp可以透過發送帶有E2Term MAC的ARP訊息來冒充E2Term，進而將所有E2流量重定向至該異常的xApp(圖5)。

應對E2介面的潛在威脅

前述的三種案例中，E2服務都將被中斷或完全關閉。雖然在O-RAN架構設計中，即使E2服務中斷還是可以正常運作，但系統網路效能依舊很有可能受到影響。在V2X用例中，E2服務的中斷可能導致車輛功能無法正常使用。在出現ARP欺騙的情況下，正常的xApp有可能受到其他未經授權存取的xApp攔截其資料通訊。即使是非惡意的xApp也有可能因導入不當而造成損害，這些情況都可能會影響O-RAN中不同通訊功能模組之間的互通性。研究團隊開發了六合一攻擊的xApp，可執行研究中發現的六種攻擊方式。

面對O-RAN通訊的潛在風險，以下幾種方式有助於減輕資安問題帶來的影響：