Sjna0414

**Nome do Software Vulnerável e Versões Afetadas** Ella Core versões anteriores a 1.10.0 **Description** Um rádio com um NG Setup válido pode enviar um 'PDUSessionResourceSetupResponse' forjado contendo qualquer `AMF-UE-NGAP-ID` de um UE. O software não verifica se a mensagem chegou na associação SCTP vinculada à conexão NG lógica daquele UE, criando então um túnel GTP em direção ao rádio. Isso resulta no redirecionamento do tráfego de plano de usuário de downlink para o rádio do invasor. **Recommendations** Atualizar para a versão 1.10.0.

**Nome do Software Vulnerável e Versões Afetadas** Ella Core versões anteriores a 1.10.0 **Description** O Ella Core não aplica as regras de segurança relativas à execução simultânea de procedimentos de segurança. Especificamente, o sistema pode enviar um NAS Security Mode Command enquanto um handover N2 ainda está pendente, ou vice-versa. Essa concorrência resulta em uma incompatibilidade de KgNB entre o User Equipment (UE) e o gNB de destino, causando a falha do handover. O gatilho para este problema requer um gNB travado combinado com uma corrida de re-registro. **Recommendations** Atualizar para a versão 1.10.0.

**Nome do Software Vulnerável e Versões Afetadas** Ella Core versões anteriores a 1.10.0 **Description** O Ella Core, um núcleo 5G para redes privadas, não verifica as Capacidades de Segurança de UE recebidas em mensagens NGAP 'PathSwitchRequest' em relação aos valores armazenados localmente. Isso permite que um gNB malicioso sobrescreva as capacidades de segurança armazenadas para qualquer UE com valores arbitrários ao enviar um único 'PathSwitchRequest' manipulado, resultando na corrupção dos dados de segurança da UE alvo. **Recommendations** Atualizar para a versão 1.10.0.

**Nome do Software Vulnerável e Versões Afetadas** free5GC versões anteriores a 4.2.2 **Descrição** A Função de Gerenciamento de Acesso e Mobilidade (AMF) no free5GC não verifica as Capacidades de Segurança do UE recebidas em mensagens NGAP PathSwitchRequest em relação aos valores armazenados localmente. Isso ocorre na função `handlePathSwitchRequestMain()` localizada em `amf/internal/ngap/handler.go`. Um gNB malicioso pode sobrescrever as capacidades de segurança do UE armazenadas com valores arbitrários, que são então propagados em mensagens PathSwitchRequest Acknowledge e Handover Request subsequentes. Isso leva a uma negação de serviço de handover persistente para os UEs afetados, pois os gNBs de destino podem rejeitar o procedimento se os algoritmos corrompidos não coincidirem com seus algoritmos permitidos configurados. **Recomendações** Atualize para a versão 4.2.2. Como medida paliativa temporária, restrinja o acesso à função `handlePathSwitchRequestMain()` ou ao processamento de NGAP PathSwitchRequest associado apenas a gNBs confiáveis.

**Nome do Software Vulnerável e Versões Afetadas** free5GC versões anteriores a 4.2.2 **Descrição** A Função de Gerenciamento de Acesso e Mobilidade (AMF) no free5GC não aplica as regras de procedimentos de segurança concorrentes. Especificamente, a AMF não verifica se um procedimento de handover N2 está em andamento antes de iniciar um Comando de Modo de Segurança NAS e, inversamente, não verifica se há um Comando de Modo de Segurança NAS em andamento antes de iniciar procedimentos N2. Essa falta de sincronização pode resultar em incompatibilidades entre os contextos de segurança do Non-Access Stratum (NAS) e do Access Stratum (AS) na rede e no Equipamento do Usuário (UE). A exploração técnica envolve a função `SecurityMode()` em `internal/gmm/sm.go` e a função `handleHandoverRequiredMain()` em `internal/ngap/handler.go`, onde as verificações cruzadas de procedimento exigidas estão ausentes. **Recomendações** Atualize para a versão 4.2.2. Como medida paliativa temporária, restrinja o uso da função `SecurityMode()` e da função `handleHandoverRequiredMain()` para garantir que não sejam executadas simultaneamente para o mesmo UE.