No Attack

1 Intercept user traffic

2 Trace location of a subscriber

3 Disclosure of subscriber
credentials for an APN

Denial of service on all

4 subscribers on the same
SGSN/SGW

5 Information gathering:
Enumerate GTP NEs

6 Unauthorised access to an APN

7 Billing fraud: cause expenses

for another subscriber
 Impersonation of a subscriber
8 on the network behind the
destination APN

9 Redirect existing GTP-U traffic

to another SGW/PGW

Denial of service on all

10 subscribers on one board of a
SGW

Denial of service on all

11 subscribers on the same
GGSN/PGW
12 Steering of roaming/ Denial of
service to all subscribers

13 Injecting GTP messages by

prediction of TEID

14 DoS or other exploitation of

network element.

15 GTP integrity compromise

Method Attack Type

Read GTP-U plane and user payload

Read User Location Information (ULI) continuously if Mobile Station

(MS) Info Change Notification Requests are sent between VPLMN
and HPLMN
Passively read legitimate
Receiving Create Session Request (to attacker’s GGSN/PGW GTP messages in transit
address) which contains the User Location Information IE.

APN credentials are part of the Point-to-Point Protocol (PPP) set-up

in clear text (Password Authentication Protocol / PAP) or by using
Challenge Handshake Authentication Protocol (CHAP)

An attacker can spoof any GTP-C message (e.g. Echo response)

then request increased Restart Counter and send it to the target
Actively send malicious
node. The target node, since the counter has been increased,
message
assumes a restart of the sending node and deletes all context
assigned to this spoofed IP address.

Send fake Delete PDP Context Request, Delete Session Request,

GTP Echo Request or other messages. Most times the peer provides
an answer if the message is implemented.

Visited SGSN/SGW tells home GGSN/PGW by Selection Mode IE in

Create session request/Create PDP Context Request that the home
HLR/HSS would allow this access. GGSN/PGW does not validate the
user profile with PCRF if the given IMSI is provisioned with the APN.

Actively send malicious

message
Spoofed/Stolen IMSI in Create Session Request or Create PDP
Context Request
 Actively send malicious
message

Spoofed/Stolen IMSI or Spoofed/Stolen MSISDN in Create Session

Request / Create PDP Context Request.
High risk the MSISDN is later used in HTTP enrichment and used for
web authentication.

Send Update PDP Context or Modify Bearer Request message with

parameters that change the SGW.

Send Insert Subscription Data (IDR) with PGW set to Attacker PGW
IP and allocation of PDN GW to Static for the target APN. Next
Create Session Request is sent to the Attacker PGW IP.

Actively send malicious

message

Send Create Bearer Request with uplink TFTs that change uplink
traffic to the attacker’s PGW via the newly established dedicated
bearer.

Send Delete PDN Connection Set Request with a valid FQ-CSID

Create PDP Context or Create Session Request message is

Actively send flood of
constantly being sent to exhaust the pool of IP addresses assigned
malicious messages
to a PGW
 Actively suppress legitimate
Always send fault cause in response to Create PDP Context
message and send malicious
Request/Create Session Request
message

Actively send messages

Attacker is able to predict TEID and therefore able to inject illegal
while knowing TEID. This
messages in the GTP-U tunnel or even inject the GTP-C response
attack enables advanced
messages. The attack is applicable and more easily to conduct if
attacks and allows exploits
non-random TEID allocation is used.
using additional messages.

Malformed messages could cause DoS or otherwise affect or exploit

the vulnerable protocol stack or vulnerable network element from
Actively send one or more
certain vendors. These types of signalling vulnerabilities do not result
malformed messages
from network architecture or protocol design, but are vendor and
implementation dependent.

Injection into the GTP-U user plane is possible allowing quantum

Actively send malicious
inserts and exploitation by targeting the users based on
message
IMSI/MSISDN
Attack Pre-conditions Mitigation

Ability to capture the GTP traffic (e.g.

successfully control the GRX/IPX links MNO to MNO GTP encryption by using DTLS, VPN or IPSec or
and/or a trusted roaming partner other security mechanism.
compromise as stated in section 3.4)

MNO to MNO GTP encryption by using DTLS, VPN or IPSec or

Ability to capture the GTP traffic (e.g. other security mechanism.
successfully control the GRX/IPX links, APN
replacement or node compromise) See FS.19 [12], section 4.11.4 to avoid traffic interception. Filter
outgoing location information, replacement with dummy location
to avoid location data leakage.

Ability to capture the GTP traffic (e.g. Forcing PPP connections to restrict to CHAP authentication.
successfully control the GRX/IPX links or
node compromise)

MNO to MNO GTP encryption.

GSN nodes should not strictly follow this 3GPP functionality and
thus not delete all contexts after restart counter indication to
reduce the impact. Employ anti-spoofing on the IP firewall, at
least to protect spoofing of internal IPs and other explicitly not
Target node IP reachability (e.g. access to
allowed IP addresses.
the GRX/IPX, Internet exposure)

Ensure the recovery counter is sequential and monitor counter

values on GTP-C messages.

Employ firewall IP level 3 filtering to whitelist only valid roaming

Target node IP reachability (e.g. access to
partners. For filtering of the messages from roaming partners,
the GRX/IPX, Internet exposure)
GTP Cat2 and Cat3 filtering is required.

Use GTP Cat3 filtering to compare location of subscribers to

reduce the attack surface.

Target node IP reachability (e.g. access to

the GRX/IPX, Internet exposure)

Ensure PPP connections are restricted to CHAP authentication.

Target node IP reachability.

Implement GTP Cat3 protection. Verify the subscriber location
with current SS7 and Diameter location.
Spoofed/stolen IMSI
Target node IP reachability

Spoofed/stolen IMSI or Spoofed/stolen

MSISDN.
NB. Retrieving MSISDN can be easier than
IMSI.

IMSI can be retrieved in several ways such

Implement GTP Cat3 protection. Verify the subscriber location
as SS7 signalling messages abuse [10].
with current SS7 and Diameter location.
Valid APN.
The APN configured for an IMSI can be
retrieved, for example, on operator’s
website or abusing other signalling
protocols like Diameter [12] or by
compromising end-user’s or customer’s
equipment configurations.
Target node IP reachability,
Valid TEID retrieved in advance by means
of other attacks. GTP Cat3 filtering function to Monitor location of subscribers on
MAP/Diameter.
Bearer ID (default 5 can be used or it can
be guessed by a brute force on 4 digits)

Knowledge of IMSI See FS.19 [12], section 4.11.4

Employ firewall IP level 3 filtering to white list only valid roaming

Target node IP reachability, partners IP sources, and allow modification of User Plane
session parameters only for the same partner IP sources.

Check abnormal number of Create Bearer Request messages, or

Valid TEIDs retrieved in advance by means the establishment of dedicated bearers for unknown use
of other attacks. cases.CDRs are created for the dedicated bearers established,
so this could also be detected by fraud management.

Bearer ID (default 5 can be used or it can

be guessed by a brute force on 4 digits)

Target node IP reachability Employ firewall IP level 3 filtering to white list only valid roaming
partners IP sources.
Valid FQ-CSID

Target node IP reachability,

Employ firewall IP level 3 filtering to white list only valid roaming
Valid IMSI prefix. partners IP sources.
Valid APN
Man on the Side (MOTS) or Man in the
Middle (MITM) (e.g. achieved by
successfully controlling the GRX/IPX links Monitor the number of inbound roamers versus the utilisation of
or node compromise). Please note this pre- GTP-U traffic.
condition is non-trivial and requires the
correct timing and a valid TEID.

Target node IP reachability MoTS or MITM Employ firewall IP level 3 filtering to white list only valid roaming
(not mandatory) partners IP sources.

Valid TEID Ensure TEID values are randomized.

Employ plausible network traffic checking and drop any

unauthorised traffic.

Ensure network element is protected against fuzzing attacks or

Target node IP reachability empty IEs. Use GTP firewall to check formats and validate
messages.

Employ firewall IP level 3 filtering to white list only valid roaming

MITM (e.g. realized by successfully partners IP sources.
controlling the GRX/IPX links or node
compromise) Employ GTP Cat3 protection. Verify the subscriber location with
current SS7 and Diameter location.
 Diễn giải

- Kiểm soát đối tác roaming Vinaphone kết nối vào hệ thống mạng core
MME/PGW. Hiện tại bất kỳ nhà mạng nào kết nối GRX/IPX ( bao gồm nhà mạng
chưa ký kết thỏa thuận roaming) cũng có thể kết nối đến mạng Core MME/PGW
- Các use case liên quan tới bảo mật đường truyền đòi hỏi kể tấn công phải có khả
năng tiếp cận các link GRX/IPX => khả năng xảy ra rất thấp, đòi hỏi có người nhà
mạng hỗ trợ

- Tấn công từ chối dịch vụ toàn bộ SGW bằng cách gửi giả mạo bản tin GTP-C để
làm tăng yêu cầu "Restart Counter" và gửi cho 1 node mạng, làm cho node mạng bị
tăng tải gây ra restart và xóa toàn bộ kết nối.

- Gửi các bản tin lệnh giả, các bản tin vi phạm format như: Delete PDP Context
Request, Delete Session Request, GTP Echo Request để rà quét thu thập thông tin
mạng lưới

- MS gửi bản tin Create Session request, Create PDP context request lên PGW với
APN không phải dịch vụ roaming (VD APN 3G/4G VPN…)
=> Đây là case đã xảy ra trên mạng lưới.

- Sử dụng các IMSI giả mạo hoặc bị đánh cắp của người dùng thật để gửi các bản tin
Create Session Request hoặc Create PDP Context Request, nhằm gian lận cước hoặc
tạo chi phí cước cho người dùng thật
- Mạo danh người dùng của APN mạng khách nhằm thu thập thông tin, nghe trộm
kết nối hoặc gian lận cước như case số 7.
Cách thức thực hiện có thể làm: giả mạo địa chỉ IP, thông tin xác thực như IMSI,
MITM…

- Điều hướng lưu lượng GTP-U sang các PGW khác nhằm theo dõi lưu lượng thuê
bao để đánh cắp thông tin hoặc giả mạo thuê bao, các phương thức có thể bao gồm:
+ Gửi các bản tin update "GTP-C Modify Bearer Request" từ ngoài mạng tới PGW
của thuê bao để chiếm đoạt kết nối internet, kiểu tấn công này có nguy cơ làm rò rỉ
dữ liệu nhạy cảm của thuê bao. Kẻ tấn công có thể tiếp tục giả mạo danh tính của
thuê bao thật, trong khi thuê bao thật sẽ bị từ chối dịch vụ.
+ Gửi bản tin "Create Bearer Request" với uplinks TFTs để điều hướng lưu lượng
của thuê bao thật qua PGW của attacker.

- Gửi bản tin bất hợp lệ gây quá tải node mạng SGW (cần biết thông tin gói dịch vụ
Fully Qualified Charging Service Identifier)

- Gửi liên tục các bản tin Create PDP Context hoặc Create Session Request để yêu
cầu IP nhằm làm hết pool IP được gán cho PGW
 - Liên tục gửi các trường thông tin nguyên nhân lỗi (Error Cause) trong các bản tin
phản hồi (Response Message) gây cao tải dịch vụ hoặc làm người dùng thật khó kết
nối

- Inject tin nhắn GTP bằng cách dự đoán TEID đề cập đến việc tấn công hoặc phá
hoại mạng di động bằng cách dự đoán và sử dụng TEID (Tunnel Endpoint
Identifier) trong giao thức GTP (GPRS Tunneling Protocol).
=> Kẻ tấn công cố gắng dự đoán TEID của kênh kết nối giữa hai thiết bị để inject tin
nhắn GTP giả mạo vào mạng. Bằng cách dự đoán chính xác TEID, kẻ tấn công có
thể gửi các tin nhắn GTP với TEID giả mạo đến thiết bị đích và xâm nhập vào hệ
thống mạng nhàm rà quét hoặc thu thập thông tin mạng.

- Gửi các bản tin lỗi nhằm rà quét lỗ hổng cấu hình hoặc giao thức trên mạng

- Gửi các bản tin GTP-U không hợp lệ (chèn thông tin vào bản tin GTP-U) nhằm
gửi các thông tin độc hại tới các thuê bao khác dựa trên IMSI/MSISDN