CVE-2025-20761: MediaTek调制解调器错误处理不当导致远程拒绝服务

漏洞信息

漏洞编号

CVE-2025-20761

漏洞类型

拒绝服务

CVSS评分

6.5 中危

攻击向量

邻接 (AV:A)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

MediaTek Modem

漏洞概述

CVE-2025-20761是MediaTek调制解调器中的一个中危安全漏洞，CVSS评分6.5。该漏洞源于调制解调器中错误的错误处理机制，攻击者可通过控制恶意基站向用户设备(UE)发送特定信号，触发系统崩溃，从而造成远程拒绝服务。由于该漏洞位于调制解调器固件层面，攻击成功不需要任何额外执行权限，也无需用户交互。攻击者只需在目标设备无线覆盖范围内部署恶意基站，当用户设备连接到该基站时即可触发漏洞。此漏洞影响所有使用受影响MediaTek调制解调器芯片的移动设备，包括智能手机、平板电脑和物联网设备。MediaTek已发布安全补丁(MOLY01311265)修复此问题，建议用户尽快更新到最新固件版本。

技术细节

该漏洞存在于MediaTek调制解调器的错误处理逻辑中。当用户设备(UE)连接到攻击者控制的恶意基站(Rogue Base Station)时，调制解调器在处理某些特定信号或协议数据时未能正确处理异常情况，导致系统崩溃。具体来说，调制解调器固件在接收到精心构造的无线信号时，错误处理例程未能正确释放资源或处理边界条件，触发空指针解引用或内存损坏，最终导致整个调制解调器子系统崩溃。由于调制解调器是移动设备的核心通信组件，其崩溃将导致设备失去蜂窝网络连接能力，包括语音通话、短信和数据服务都无法使用。攻击者利用此漏洞需要具备以下条件：1) 在目标设备的无线覆盖范围内；2) 能够部署并控制符合3GPP协议的恶意基站；3) 等待用户设备自动或手动连接到该恶意基站。攻击复杂度较低，无需认证或用户交互即可实施。

攻击链分析

STEP 1

步骤1

攻击者部署恶意基站(Rogue Base Station)，配置符合3GPP协议的信号参数

STEP 2

步骤2

恶意基站广播信号，等待目标用户设备(UE)的小区重选和附着过程

STEP 3

步骤3

目标设备的MediaTek调制解调器连接到恶意基站，建立无线连接

STEP 4

步骤4

攻击者通过恶意基站向调制解调器发送精心构造的RRC消息或协议数据

STEP 5

步骤5

调制解调器固件的错误处理例程未能正确处理异常，触发崩溃条件

STEP 6

步骤6

调制解调器子系统崩溃，设备失去蜂窝网络连接能力，包括通话、短信和数据服务

STEP 7

步骤7

用户设备需要重启或重新插拔SIM卡才能恢复通信功能，实现拒绝服务效果

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// CVE-2025-20761 PoC - Rogue Base Station Attack
// This PoC demonstrates the concept of triggering the modem crash
// Requires: SDR hardware (USRP, HackRF), open-source base station software (OAI, srsLTE)

// Step 1: Set up rogue base station
const rogueBTS = {
  frequency: 2110e6,  // Example: LTE Band 1 (FDD)
  bandwidth: 20e6,
  cellId: 0x123456,
  tac: 1,
  mcc: 460,  // China Mobile
  mnc: 0
};

// Step 2: Configure malicious SIB (System Information Block)
const maliciousSIB = {
  cellBarred: false,
  intraFreqReselection: true,
  q_RxLevMin: -140,
  p_Max: 23,
  // Trigger error handling vulnerability
  sib3: { /* normal parameters */ },
  sib4: { /* normal parameters */ }
};

// Step 3: Send crafted RRC messages to trigger crash
function sendMaliciousRRCMsg() {
  const msg = {
    // Crafted message that triggers incorrect error handling
    messageType: 'RRCConnectionReconfiguration',
    criticalExtensions: {
      // Malformed configuration causing buffer overflow
      mobilityControlInfo: {
        targetPhysCellId: 0,
        carrierFreq: { dl_CarrierFreq: 0 },
        // Missing or invalid parameters
      }
    }
  };
  
  // Transmit to connected UE
  transmit(msg);
}

// Step 4: Monitor for crash indication
function monitorCrash() {
  // Check if UE loses connection
  // If no response received, modem crash successful
}

// Note: This is a conceptual PoC. Actual exploitation requires:
// - GNU Radio with relevant blocks
// - srsLTE or OpenAirInterface
// - Appropriate RF hardware
// - Knowledge of target device's specific MediaTek modem firmware

影响范围

MediaTek Modem with Patch ID MOLY01311265 (prior to fix)

MediaTek modem firmware MSV-4655 (vulnerable versions)

Various MediaTek SoC chipsets with integrated modem functionality

防御指南

临时缓解措施

由于该漏洞需要攻击者在物理无线覆盖范围内部署恶意基站，普通用户在运营商授权网络的正常覆盖区域内受到攻击的风险较低。建议用户在发现调制解调器异常崩溃或频繁失去网络连接时，及时重启设备并联系设备制造商确认是否有可用更新。同时，避免连接来源不明的WiFi热点或使用未知的移动网络设置，以减少被恶意基站伪装的概率。对于高安全需求场景，可考虑使用具有硬件安全模块的设备，并在有条件的情况下启用运营商的SIM卡认证和基站验证功能。