開放式無線接入網(wǎng) (ORAN or O-RAN) 是搭建一個開放、虛擬化和智能的無線接入網(wǎng) (RAN) 體系結(jié)構(gòu)，從而創(chuàng)造一個包含多家廠商、各家廠商的產(chǎn)品之間可以互操的生態(tài)系統(tǒng)。開放無線接入網(wǎng)(ORAN)體系結(jié)構(gòu)為以前封閉的系統(tǒng)提供了標準化的接口和協(xié)議。然而，通過對ORAN的研究表明，惡意xApps構(gòu)成的潛在威脅能夠危及整個Ran智能控制器(RIC)子系統(tǒng)。Open RAN為5G無線接入網(wǎng)(RAN)引入了模塊化和解耦的設(shè)計范式，并承諾通過O-RAN定義的RAN智能控制器(RIC, RAN Intelligent Controller)實現(xiàn)完全的可編程性。

開放式無線電接入網(wǎng)架構(gòu)通過建立標準接口和協(xié)議提供了對先前封閉的無線電接入網(wǎng)系統(tǒng)的接入。預計不同的供應商將在O-RAN中創(chuàng)建eXtended應用程序（xApps），由運營商安裝，這使得xApps成為惡意攻擊者的潛在攻擊向量，目的是在關(guān)鍵通信節(jié)點中站穩(wěn)腳跟。

本文將會介紹惡意xApp如何危害整個RAN智能控制器（RIC）子系統(tǒng)。

5G網(wǎng)絡(luò)

下圖為5G蜂窩網(wǎng)絡(luò)的總體架構(gòu)。通過對分組核心的一些修改，拓撲結(jié)構(gòu)也可以擴展以適應前幾代網(wǎng)絡(luò)（如3G和4G）。在下圖的左側(cè)是用戶：

5G網(wǎng)絡(luò)的端到端架構(gòu)

基站（如圖2所示）由以下組件組成：

1.發(fā)射和接收無線電信號的天線。

2.一種遠程無線電頭（RRH），它容納射頻（RF）收發(fā)器，負責將數(shù)字信號轉(zhuǎn)換為無線電信號，反之亦然。

3.一種基帶單元（BBU），用于處理數(shù)字數(shù)據(jù)處理，包括調(diào)制、編碼和解碼以及更高層協(xié)議。BBU可以管理多個RRH和天線。

典型RAN架構(gòu)的組件

rrh通常位于天線附近，安裝在手機信號塔上。BBUs曾經(jīng)與蜂窩塔同處一處，但目前的基礎(chǔ)設(shè)施促使它們會位于更遠的中心位置。RAN的演變?nèi)绫疚乃尽?/p>

vRAN(虛擬化RAN)是一種運行在商用現(xiàn)成硬件上的虛擬化BBU。在分離式vRAN設(shè)計中，BBU分為CU (central unit)和DU (distributed unit)兩部分。

Open RAN

盡管虛擬化和分解，RAN體系結(jié)構(gòu)仍然相對封閉(也就是說，大多數(shù)組件必須來自同一供應商以確保兼容性)。當網(wǎng)絡(luò)架構(gòu)關(guān)閉時，運營商通常需要向單一供應商支付巨額費用來購買設(shè)備和技術(shù)。

O-RAN架構(gòu)旨在通過采用開放的標準、接口和協(xié)議來實現(xiàn)互操作性和靈活性。開放式RAN打破了系統(tǒng)的封閉性，允許運營商從不同的供應商選擇設(shè)備和軟件，從而實現(xiàn)更高程度的網(wǎng)絡(luò)定制(例如，從一個供應商購買CU，然后從另一個供應商獲得DU)。這允許更多的二、三線設(shè)備制造商參與進來。

O-RAN不僅僅是開放接口，它還通過基于人工智能的控制實現(xiàn)對下一代ran的開放訪問。本地網(wǎng)絡(luò)實體和RIC之間的開放接口可以促進無線電資源的實時感知、管理和響應。然而，由于其開放標準的性質(zhì)，O-RAN本質(zhì)上更容易受到攻擊和其他威脅，因此設(shè)計適當?shù)陌踩珯C制非常重要。

O-RAN聯(lián)盟

O-RAN聯(lián)盟是一個開放的技術(shù)組織，由移動運營商、供應商、研究組織和學術(shù)機構(gòu)組成，致力于推進open RAN概念，該聯(lián)盟已經(jīng)設(shè)計了一套open RAN規(guī)范。

該聯(lián)盟之前與Linux基金會合作開發(fā)了該規(guī)范的參考實現(xiàn)，稱為O-RAN SC, O-RAN SC規(guī)范是開源的，其代碼來自愛立信、諾基亞、三星、Radisys和AT&T等頂級RAN供應商。鑒于這種協(xié)作努力，許多供應商更有可能將O-RAN SC代碼納入其商業(yè)產(chǎn)品中。

O-RAN架構(gòu)

O-RAN聯(lián)盟在其網(wǎng)站上提供了O-RAN架構(gòu)的概述，下圖顯示了O-RAN如何適應5G網(wǎng)絡(luò)拓撲結(jié)構(gòu)。

O-RAN如何適應5G網(wǎng)絡(luò)拓撲結(jié)構(gòu)

Near-RT RIC和RIC消息路由器(RMR)

Near-RT RIC使用E2接口來控制底層的RAN組件(包括CU、DU和RU)，可以將它看作OpenFlow在RAN中的對應組件。E2接口的要求是能夠?qū)ear-RT RIC連接不同供應商的不同類型的RAN組件。這個要求反映在圍繞服務模型(Service Model) 抽象的API中，其思想是每個RAN組件都發(fā)布一個服務模型，定義該組件能夠支持的RAN功能集。

Near-RTRIC是O-RAN體系結(jié)構(gòu)的重要組成部分之一，它對網(wǎng)絡(luò)中的RF資源進行監(jiān)控和管理，以優(yōu)化網(wǎng)絡(luò)性能。它可以實時收集和分析網(wǎng)絡(luò)數(shù)據(jù)，還可以做出智能決策，優(yōu)化無線資源的配置，使這些資源能夠滿足不同終端設(shè)備和服務的需求。

在Near-RT的RIC中，還有許多其他子組件，如E2term、E2Mgr和xApps。這些組件之間的通信依賴于RIC Message Router (RMR)表，在Near-RT的RIC中，該表通常包含與消息的路由和管理相關(guān)的信息。這些表包括消息的目的地、優(yōu)先級、隊列和其他相關(guān)屬性等詳細信息。

RMR表包括以下信息：

• 消息目的地：指定應將消息路由到何處以及應處理該消息的實體或處理程序。優(yōu)先事項指示處理消息的優(yōu)先級，以確保重要消息得到更快的響應。
• 排隊：用于存儲消息以供后續(xù)處理。
• 消息類型：標識消息的類型，以便正確的處理程序能夠處理它。
• 消息標識符：標識消息的唯一值：它用于跟蹤消息狀態(tài)和處理進度。

RMR庫是一組用于與RMR表交互的api，它包含在組成Near-RTRIC的組件中，例如xApp和E2Term。例如，兩個獨立xapp之間的交互將通過RMR進行。在這種情況下，xApp_A將根據(jù)KPI信息做出判斷，然后通過RMR調(diào)用xApp_B。

下圖顯示了使用RMR庫和路由表的Near-RTRIC中組件之間的交互。

RIC組件如何使用RMR

我們的研究揭示了Near-RTRIC的消息傳遞基礎(chǔ)設(shè)施中的多個漏洞。

攻擊方法

在Near-RT的RIC中運行，xApps是提供諸如無線電資源優(yōu)化、網(wǎng)絡(luò)監(jiān)控和性能增強等功能的軟件組件。這些組件可以由網(wǎng)絡(luò)運營商、第三方開發(fā)人員或網(wǎng)絡(luò)設(shè)備供應商進一步開發(fā)，以增加獨特的價值和功能。從這個意義上說，xApps可以被認為是所有O-RAN組件中最開放的。

這種多廠商生態(tài)系統(tǒng)推動了創(chuàng)新，但也帶來了以下挑戰(zhàn)：

安全xApp登錄；

互操作性；

魯棒性問題；

通常情況下，xApps應該來自多個供應商。因此，我們開始研究時假設(shè)xApps是一種潛在的攻擊媒介，xApp可能會通過供應鏈或劫持引導進程而受到攻擊。即使是良性的xApp，如果它發(fā)出意外的或異常的消息，也會造成傷害。我們的研究結(jié)果證實了這些假設(shè)。

RMR漏洞

CVE-2023-40998：來自xApp的精心制作的惡意數(shù)據(jù)包導致RT RIC的E2term崩潰。

CVE-2023-40998漏洞涉及錯誤的數(shù)據(jù)包信息，可能導致解碼過程中的數(shù)據(jù)包大小為負，從而導致執(zhí)行內(nèi)存操作時崩潰。

CVE-2023-40998消息流

消息大小變?yōu)樨摂?shù)的原因是它由數(shù)據(jù)包的前四個字節(jié)決定。如果設(shè)置不正確，它可能在解碼過程中導致負值，從而導致崩潰。

CVE-2023-40997：以無效格式發(fā)送的精心制作的消息導致Near-RTRIC的E2term崩潰。

CVE-2023-40997消息流

CVE-2023-40997發(fā)送報文無法正確解碼，導致內(nèi)存地址計算錯誤，導致E2Term崩潰。

CVE-2023-41627：RMR表欺騙

E2Term依賴路由管理器定期發(fā)送的路由表信息來與RIC系統(tǒng)中的其他組件建立通信，但E2Term不會驗證它接收到的路由表信息的發(fā)送方。由于缺乏驗證，攻擊者可以通過向E2Term發(fā)送偽造路由表信息來利用CVE-2023-41627漏洞，通過使用路由管理器以更高的頻率將此信息發(fā)送給E2Term，攻擊者可以欺騙E2Term并中斷其與其他組件的通信。

CVE-2023-41627消息流

RMR劫持：兩個xapp使用相同的訂閱ID發(fā)送相同的消息類型

當xApp_A向訂閱E2節(jié)點發(fā)送函數(shù)ID時，xApp_B向訂閱E2節(jié)點發(fā)送相同的函數(shù)ID。然后，xApp_A RMR表項將被覆蓋，這意味著它不能從E2節(jié)點接收消息。相反，E2節(jié)點將向第二個xApp_B發(fā)送消息。

O-RAN是通信網(wǎng)絡(luò)的關(guān)鍵組成部分，O-RAN節(jié)點存儲加密密鑰并處理用戶流量。

這里描述的兩個漏洞會導致DoS事件，它們與xApps、RMR和Near-RT的RIC有關(guān)。這些組件提供射頻資源優(yōu)化和流量管理等增值服務。

O-RAN設(shè)計用于在RIC/E2組件不可用的情況下進行流量處理。理論上，RIC組件的崩潰不應該關(guān)閉蜂窩連接。但是，這可能導致資源利用不暢和服務退化。

同時，RMR欺騙和劫持可以在不關(guān)閉任何組件的情況下破壞RIC中的xApp生態(tài)系統(tǒng)。這就造成了資源利用率低下和服務退化。

即使是良性的xapp也可能由于實現(xiàn)不當而造成損害。這可能會對O-RAN中多廠商組件的互操作性產(chǎn)生不利影響。

緩解

嚴格的驗證和登錄過程可以防止惡意xApps進入系統(tǒng)，即使RIC組件發(fā)生故障，確保O-RAN也可以處理網(wǎng)絡(luò)流量，這也可以緩解攻擊的影響。

建議使用深度包檢測(DPI)系統(tǒng)來檢查組件之間的流量，以便可以根據(jù)需要應用熱補丁。

這個DPI系統(tǒng)能夠理解O-RAN協(xié)議。