Ella Core — это ядро 5G, предназначенное для частных сетей. Версии до 1.6.0 вызывают панику при обработке искаженного сообщения NGAP LocationReport с типом события «ue-presence-in-area-of-interest» и пропуском дополнительного IE «UEPresenceInAreaOfInterestList». Злоумышленник, способный отправлять созданные сообщения NGAP в Ella Core, может привести к сбою процесса, что приведет к сбою в обслуживании всех подключенных подписчиков.
Никакой аутентификации не требуется. Версия 1.6.0 добавила проверку присутствия IE в обработку сообщений NGAP.
Показать оригинальное описание (EN)
Ella Core is a 5G core designed for private networks. Versions prior to 1.6.0 panic when processing a malformed NGAP LocationReport message with `ue-presence-in-area-of-interest` event type and omitting the optional `UEPresenceInAreaOfInterestList` IE. An attacker able to send crafted NGAP messages to Ella Core can crash the process, causing service disruption for all connected subscribers. No authentication is required. Version 1.6.0 added IE presence verification to NGAP message handling.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Ellanetworks Ella_Core
cpe:2.3:a:ellanetworks:ella_core:*:*:*:*:*:*:*:*
|
— |
1.6.0
|