Impact of 5G SA Logical Vulnerabilities on UAV Communications: Threat Models and Testbed Evaluation

Dit onderzoek toont aan dat logische kwetsbaarheden in 5G-SA-netwerken UAV-besturing kunnen verstoren via verschillende aanvalspunten, wat de noodzaak onderstreept van betere isolatie en integriteitsbescherming.

De kern

Hier is een samenvatting van het onderzoek in eenvoudig Nederlands, met behulp van analogieën om de complexe techniek begrijpelijk te maken.

De Drones en het 5G-Netwerk: Een Gevaarlijke Reis

Stel je voor dat een drone (een onbemand vliegtuigje) een boodschapper is die vliegt met een pakketje. Om zijn weg te vinden en zijn taken uit te voeren, moet hij constant praten met zijn baas op de grond (de bestuurspost). Vroeger gebruikten ze speciale radio's, maar nu gebruiken ze steeds vaker het 5G-netwerk van je mobiele telefoon. Dit is super snel en heeft weinig vertraging, wat perfect lijkt voor drones.

Maar, net zoals een snelweg ook gevaarlijk kan zijn als er verkeerde borden staan of als iemand de verkeerscontrole heeft gekaapt, heeft dit nieuwe 5G-systeem ook zwakke plekken. Dit onderzoek kijkt naar drie manieren waarop boeven dit systeem kunnen misbruiken om de drone te laten crashen of te stelen.

De onderzoekers bouwden een mini-versie van het 5G-netwerk in hun laboratorium (een "testbed") om deze gevaarlijke situaties veilig te simuleren. Hieronder leg ik de drie scenario's uit.

---

1. De "Valse Vriend" in de Buurt (De kwaadaardige gebruiker)

Het Scenario:
Stel je voor dat jij en je drone op hetzelfde grote feestje zitten (hetzelfde 5G-netwerk). Er is ook een vreemdeling bij die zich voordoet als een van de gasten. Omdat jullie allemaal op hetzelfde feestje zijn, mag hij normaal gesproken met iedereen praten.

De Aanval:
De boef ziet dat de drone geen wachtwoord vraagt aan wie er met hem praat. Hij doet zich voor als de echte baas (de bestuurspost). Hij stuurt een berichtje: "Ik ben je baas, land direct!" Omdat de drone niet controleert of het echt zijn baas is, doet hij wat er gezegd wordt en landt hij, zelfs als de echte baas roept: "Nee, blijf vliegen!"

De Les:
Het probleem is dat de drone zelf niet goed genoeg controleert wie er praat. Het is alsof je een deur openzet voor iedereen die zegt dat hij de postbode is.

• Oplossing: De drone moet een "handtekening" of paspoort vragen aan elke opdracht die hij ontvangt.

---

2. De "Verkeerde Verkeersregelaar" (De insider in het netwerk)

Het Scenario:
Nu kijken we niet naar de gasten op het feestje, maar naar de verkeersregelaar zelf (het hart van het 5G-netwerk). Stel je voor dat een boef zich in de verkeerscentrale heeft verstopt. Hij heeft geen vliegtuig nodig, maar hij heeft wel de knoppen om de verkeersstromen te sturen.

De Aanval:
In dit netwerk zijn er speciale lijntjes (tunnels) waar de data doorheen gaat. De verkeersregelaar kan deze lijntjes openen of sluiten. De boef drukt op de knop om de lijn tussen de drone en zijn baas plotseling te sluiten.
Het resultaat? De drone krijgt geen signalen meer. Hij denkt dat er iets mis is en gaat in "noodmodus": hij landt of vliegt terug naar huis. De missie is mislukt, niet omdat de drone kapot is, maar omdat de verbinding is verbroken.

De Les:
Het binnenste van het netwerk wordt vaak als "veilig" beschouwd, maar als iemand daar toegang tot heeft, kan hij de verbinding zomaar verbreken. Het is alsof iemand in de verkeerscentrale alle bruggen laat zakken.

• Oplossing: De knoppen in de verkeerscentrale moeten beveiligd zijn met sterke wachtwoorden en encryptie, zodat alleen de echte regelaars ze mogen aanraken.

---

3. De "Valse Straatnaambordjes" (De gehackte zendmast)

Het Scenario:
Dit is misschien wel het gevaarlijkste scenario. Stel je voor dat de zendmast (de gNodeB) die de drone en de baas verbindt, niet door de boef is vernietigd, maar door hem is overgenomen. De mast staat nog steeds op zijn plek, maar de boef zit er nu in.

De Aanval:
De drone en de baas praten nog steeds met elkaar, maar hun gesprek gaat door die ene gehackte mast. De boef kan de gesprekken luisteren en aanpassen zonder dat de drone of de baas het merken.
Stel, de baas stuurt: "Vlieg naar punt A". De boef pakt dit bericht, veegt de tekst weg en schrijft er "Vlieg naar punt B (de val)" bij. Hij stuurt het gewijzigde berichtje naar de drone. De drone denkt dat hij nog steeds naar punt A gaat, maar vliegt in feite naar de val. De baas ziet op zijn scherm nog steeds "Vlieg naar A", maar de drone doet het tegenovergestelde.

De Les:
Omdat de data in de "tunnel" tussen de mast en het netwerk vaak niet versleuteld is, kan de boef de inhoud van de brieven lezen en herschrijven. Het is alsof de postbode de inhoud van je brief leest en de bestemming aanpast voordat hij hem aflevert.

• Oplossing: De "brieven" (de data) moeten versleuteld zijn en een handtekening hebben, zodat de drone weet dat het bericht echt van zijn baas komt en niet is aangepast onderweg.

---

Conclusie: Wat moeten we doen?

Dit onderzoek laat zien dat het alleen maar snel internet hebben (5G) niet genoeg is om drones veilig te maken. Je hebt een veiligheidssysteem op meerdere niveaus nodig:

1. Netwerk-isolatie: Zorg dat vreemdelingen niet zomaar met de drone kunnen praten, zelfs als ze op hetzelfde netwerk zitten.
2. Binnenste beveiliging: De knoppen in het hart van het netwerk moeten goed beveiligd zijn tegen insiders.
3. Echte verificatie: De drone moet zelf controleren of een commando echt van zijn baas komt en of het niet is aangepast onderweg.

Kortom: Zelfs als je de snelste weg hebt, moet je nog steeds je deuren op slot doen en controleren wie er aanbelt.

Technische samenvatting

Hier is een gedetailleerde technische samenvatting van het paper "Impact of 5G SA Logical Vulnerabilities on UAV Communications: Threat Models and Testbed Evaluation" in het Nederlands.

Titel

Impact van Logische Kwetsbaarheden in 5G SA-netwerken op UAV-communicatie: Bedreigingsmodellen en Testbed-evaluatie.

1. Het Probleem

Onbemande luchtvaartuigen (UAV's) zijn afhankelijk van continue communicatie met een grondstation (GCS) voor besturing en telemetrie. Hoewel 5G Standalone (SA) netwerken lage latentiteit en hoge capaciteit bieden, introduceert hun architectuur nieuwe kwetsbaarheden. Het paper identificeert dat de communicatie tussen UAV en GCS kwetsbaar is voor logische aanvallen op verschillende lagen van het 5G-netwerk.

De kernproblemen zijn:

• Gebrek aan isolatie: In 5G SA kunnen apparaten die verbonden zijn met hetzelfde Data Network Name (DNN) en dezelfde netwerkslice (S-NSSAI) direct met elkaar communiceren via de User Plane (UPF), tenzij specifieke isolatiebeleid is ingesteld.
• Onbeschermde interne interfaces: Interfaces binnen het 5G Core (zoals N4 tussen SMF en UPF) worden vaak als "vertrouwd" beschouwd en zijn niet altijd versleuteld of geïntegriteitsgecontroleerd.
• Onversleutelde User Plane: De N3-interface (tussen gNodeB en UPF) en de GTP-U tunnels bieden vaak geen integriteitsbescherming, waardoor een gNodeB de payload in leesbare tekst kan zien en manipuleren.
• Gebrek aan applicatielaag-beveiliging: Veel UAV-besturingsprotocollen (zoals MAVLink) gebruiken standaard geen ondertekening (signing), wat spoofing mogelijk maakt.

2. Methodologie

De auteurs hebben een gecontroleerd testbed ontwikkeld om drie specifieke bedreigingsmodellen te evalueren.

• Testbed Architectuur:

  • Platform: Een Kubernetes-cluster (Kind) met containers.
  • 5G Core: Geïmplementeerd met Open5GS (AMF, SMF, UPF, UDM, etc.).
  • Toegangslaag: Gesimuleerd met UERANSIM (gNodeB en UE-implementaties).
  • Scenario: Een UAV, een GCS en een "Rogue" (aanvallende) UE.
  • Configuratie: Alle apparaten delen dezelfde PLMN (MCC 999, MNC 70), slice (SST 1, SD 0x111111) en DNN ("internet"), wat een gedeelde logische ruimte creëert.

• Bedreigingsmodellen (Threat Models):

  1. Rogue UE: Een kwaadaardig apparaat verbonden aan dezelfde slice/DNN als de UAV.
  2. Insider Threat: Een aanval die toegang heeft tot het 5G Core (specifiek de N4-interface tussen SMF en UPF).
  3. Gecompromitteerde gNodeB: Een aanval waarbij de toegangspunt (gNB) zelf is overgenomen en controle heeft over de User Plane-traffic.

3. Belangrijkste Bijdragen en Aanvallen

Het paper demonstreert drie specifieke aanvallen die de UAV-communicatie verstoren:

A. Bedreigingsmodel 1: Rogue UE (Spoofing en Commando Injectie)

• Methode: Omdat de Rogue UE en de UAV in hetzelfde DNN zitten, kan de aanval de UAV scannen (bijv. op poort 14550 voor MAVLink). De aanval imiteert de GCS door het MAVLink systeem-ID 255 te gebruiken.
• Aanval: De aanval stuurt een hartslag (heartbeat) en vraagt telemetrie op. Vervolgens wordt een "race condition" gecreëerd door een stroom van MAV_CMD_NAV_LAND commando's te sturen. Omdat MAVLink geen ondertekening gebruikt, accepteert de UAV deze commando's als legitiem.
• Resultaat: De UAV wordt gedwongen te landen, ongeacht de intenties van de echte operator. Dit schendt vertrouwelijkheid, integriteit en beschikbaarheid.

B. Bedreigingsmodel 2: Insider Threat (N4 Interface Aanval)

• Methode: De aanval heeft toegang tot de N4-interface (PFCP protocol) tussen SMF en UPF. Deze interface is vaak niet cryptografisch beveiligd.
• Aanval: De aanval doet zich voor als een SMF en stuurt een flood van Session Deletion Request berichten met brute-force SEID's (Session IDs) naar de UPF.
• Resultaat: De UPF accepteert de verzoeken en vernietigt de PDU-sessies en GTP-U tunnels van de UAV en/of GCS. De UAV valt in een "failsafe"-modus en keert terug naar het startpunt, waardoor de missie wordt verstoord.

C. Bedreigingsmodel 3: Gecompromitteerde gNodeB (Navigatie Hijacking)

• Methode: De aanval controleert een gNodeB die verbonden is met het legitieme core-netwerk. Omdat de N3-interface (GTP-U) vaak geen integriteitsbescherming heeft, kan de gNodeB de payload in leesbare tekst zien en wijzigen zonder de tunnel te verbreken.
• Aanval: De aanval onderschept GTP-U pakketten, decapsuleert deze, en manipuleert MAVLink SET POSITION TARGET LOCAL NED commando's. De bestemmingscoördinaten worden vervangen door waarden van de aanval.
• Resultaat: De UAV vliegt naar een ongewenste locatie die door de operator niet wordt waargenomen. De operator ziet dat het commando is uitgevoerd, maar niet dat de doelcoördinaten zijn gemanipuleerd.

4. Resultaten

De experimenten in het testbed bevestigen dat:

1. Lateral Movement mogelijk is: Apparaten in dezelfde slice kunnen elkaar direct aanvallen als er geen strikte isolatie is.
2. Core-netwerk kwetsbaar is: Zonder cryptografische bescherming op de N4-interface kan een insider sessies willekeurig beëindigen.
3. User Plane kwetsbaar is: Een gecompromitteerde gNodeB kan navigatiecommando's manipuleren zonder dat de UAV of het netwerk dit detecteert, vanwege het ontbreken van integriteitscontrole op de N3-interface.
4. Applicatielaag cruciaal is: Het ontbreken van ondertekening in MAVLink maakt de systemen extreem gevoelig voor spoofing, zelfs als het netwerklaagbeveiliging gedeeltelijk werkt.

5. Betekenis en Aanbevelingen

Dit onderzoek benadrukt dat de beveiliging van UAV-communicatie niet alleen afhankelijk is van de netwerklagen, maar een multi-layered benadering vereist:

• Netwerkniveau:
  • Implementeer strikte isolatiemechanismen tussen UEs binnen dezelfde slice/DNN.
  • Versleutel en integriteitsbescherm de N4-interface (PFCP) en de N3-interface (GTP-U) met IPsec of TLS, ook al wordt dit vaak als optioneel beschouwd vanwege prestatieoverwegingen.
  • Segmenteer het core-netwerk zodat alleen geautoriseerde hosts toegang hebben tot kritieke interfaces.
• Toepassingsniveau:
  • Verplichte Ondertekening: UAV-besturingssystemen (zoals ArduPilot, PX4) moeten MAVLink-signing implementeren om spoofing en commando-injectie te voorkomen.
  • End-to-end integriteitscontrole is essentieel, zelfs als het transportnetwerk als "vertrouwd" wordt beschouwd.

Conclusie: De beveiliging van UAV's in 5G SA-netwerken is kwetsbaar voor logische aanvallen op meerdere niveaus. Zonder gecombineerde maatregelen op het gebied van netwerkisolatie, cryptografische bescherming van interne interfaces en applicatie-ondertekening, kunnen UAV-missies eenvoudig worden gemanipuleerd of verstoord.