本專題簡報針對於 O-RAN O-Cloud 以及部屬在其上面的雲原生網路功能(CNF),可能會遇到的 Migration Attacks 資安威脅進行說明,並提出可能的解決方案。
Migrant Attack 是一種新型的 DoS (阻斷服務攻擊) 用於破壞雲資源/計算服務。遷移攻擊是利用雲服務供應商會需要經常在其不同的伺服器間遷移虛擬機(VM),用於平衡工作負載(Workload) 的機制。駭客可以利用這一點,刻意改變惡意虛擬機(VM)的資源使用情況,進而觸發「實時遷移」。這會導致過多的實時遷移被觸發並執行,嚴重破壞雲平台的效能和服務品質。
由於 O-RAN 架構當中的 SMO 支援透過 O2介面連接多個 O-Cloud 伺服器,O-cloud 伺服器也會藉由遷移 CNF 進行工作負載的優化,因此遷移攻擊(Migration Attacks) 在 O-RAN 架構中是完全可以發生的。
O-RAN CNF Migration Attacks 主要分為兩類,分別是 Data Plane 的攻擊和 Control Plane 的攻擊。
Data Plane 的攻擊目標是 CNF 從一台 O-Cloud 伺服器,遷移到另一台 O-Cloud 伺服器,之間所經過的網路練路(network links)。
透過中間人攻擊(MitM) ,駭客只要對兩台 O-Cloud 伺服器之間交換的封包,進行截竊分析(Packet Sniffing),並讀取遷移的記憶體頁(Migrated Memory Pages)。就可以去監控或修改接收到的封包,並將這些惡意封包繼續轉發到目標的 CNF 上面,受害者完全不會察覺到任何惡意活動正在自己的 CNF上運行。
Control Plane Attacks 攻擊的目標,就是伺服器上負責處理遷移過程的模組,稱為遷移模組(Migration Module)。利用 Migration Module 軟體的漏洞,駭客可以入侵伺服器並完全控制 Migration Module,進而發起惡意活動。
Control Plane Attacks 又分為以下兩種:Migration Flooding (洪水遷移攻擊) 和 False Resource Advertising (虛假資源廣播)
#Tampering(竄改) #Information disclosure(訊息洩漏) #DoS(阻斷服務)
教育部資訊安全人才培育計畫臺灣好厲駭第七屆學員蔡秀吉
[email protected]
指導教授:邱德泉