POSIX CPU Timers TOCTOU race (CVE-2025-38352)

Tip

Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Μάθετε & εξασκηθείτε στο Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Υποστηρίξτε το HackTricks

Αυτή η σελίδα τεκμηριώνει μια TOCTOU race condition σε Linux/Android POSIX CPU timers που μπορεί να διαφθείρει την κατάσταση του timer και να προκαλέσει crash του kernel, και υπό ορισμένες συνθήκες να οδηγήσει σε privilege escalation.

  • Πληγέν στοιχείο: kernel/time/posix-cpu-timers.c
  • Primitive: expiry vs deletion race under task exit
  • Ευαίσθητο σε config: CONFIG_POSIX_CPU_TIMERS_TASK_WORK=n (IRQ-context expiry path)

Σύντομη ανασκόπηση εσωτερικών (relevant for exploitation)

  • Τρία CPU clocks τροφοδοτούν το accounting για timers μέσω cpu_clock_sample():
  • CPUCLOCK_PROF: utime + stime
  • CPUCLOCK_VIRT: utime only
  • CPUCLOCK_SCHED: task_sched_runtime()
  • Η δημιουργία timer συνδέει έναν timer με ένα task/pid και αρχικοποιεί τους κόμβους timerqueue:
static int posix_cpu_timer_create(struct k_itimer *new_timer) {
struct pid *pid;
rcu_read_lock();
pid = pid_for_clock(new_timer->it_clock, false);
if (!pid) { rcu_read_unlock(); return -EINVAL; }
new_timer->kclock = &clock_posix_cpu;
timerqueue_init(&new_timer->it.cpu.node);
new_timer->it.cpu.pid = get_pid(pid);
rcu_read_unlock();
return 0;
}
  • Η ενεργοποίηση (arming) εισάγει στοιχεία στον per-base timerqueue και μπορεί να ενημερώσει την next-expiry cache:
static void arm_timer(struct k_itimer *timer, struct task_struct *p) {
struct posix_cputimer_base *base = timer_base(timer, p);
struct cpu_timer *ctmr = &timer->it.cpu;
u64 newexp = cpu_timer_getexpires(ctmr);
if (!cpu_timer_enqueue(&base->tqhead, ctmr)) return;
if (newexp < base->nextevt) base->nextevt = newexp;
}
  • Η γρήγορη διαδρομή αποφεύγει δαπανηρή επεξεργασία εκτός αν οι προσωρινά αποθηκευμένες λήξεις υποδεικνύουν πιθανή πυροδότηση:
static inline bool fastpath_timer_check(struct task_struct *tsk) {
struct posix_cputimers *pct = &tsk->posix_cputimers;
if (!expiry_cache_is_inactive(pct)) {
u64 samples[CPUCLOCK_MAX];
task_sample_cputime(tsk, samples);
if (task_cputimers_expired(samples, pct))
return true;
}
return false;
}
  • Η λήξη συλλέγει τα ληγμένα χρονόμετρα, τα σημειώνει ως ενεργοποιημένα, τα μετακινεί εκτός της ουράς; η πραγματική παράδοση αναβάλλεται:
#define MAX_COLLECTED 20
static u64 collect_timerqueue(struct timerqueue_head *head,
struct list_head *firing, u64 now) {
struct timerqueue_node *next; int i = 0;
while ((next = timerqueue_getnext(head))) {
struct cpu_timer *ctmr = container_of(next, struct cpu_timer, node);
u64 expires = cpu_timer_getexpires(ctmr);
if (++i == MAX_COLLECTED || now < expires) return expires;
ctmr->firing = 1;                           // critical state
rcu_assign_pointer(ctmr->handling, current);
cpu_timer_dequeue(ctmr);
list_add_tail(&ctmr->elist, firing);
}
return U64_MAX;
}

Δύο τρόποι επεξεργασίας λήξης

  • CONFIG_POSIX_CPU_TIMERS_TASK_WORK=y: η λήξη αναβάλλεται μέσω task_work στην στοχευμένη task
  • CONFIG_POSIX_CPU_TIMERS_TASK_WORK=n: η λήξη χειρίζεται απευθείας στο IRQ context
POSIX CPU timer run paths ```c void run_posix_cpu_timers(void) { struct task_struct *tsk = current; __run_posix_cpu_timers(tsk); } #ifdef CONFIG_POSIX_CPU_TIMERS_TASK_WORK static inline void __run_posix_cpu_timers(struct task_struct *tsk) { if (WARN_ON_ONCE(tsk->posix_cputimers_work.scheduled)) return; tsk->posix_cputimers_work.scheduled = true; task_work_add(tsk, &tsk->posix_cputimers_work.work, TWA_RESUME); } #else static inline void __run_posix_cpu_timers(struct task_struct *tsk) { lockdep_posixtimer_enter(); handle_posix_cpu_timers(tsk); // IRQ-context path lockdep_posixtimer_exit(); } #endif ```

Στην IRQ-context διαδρομή, η λίστα εκτέλεσης επεξεργάζεται έξω από το sighand

Διαδρομή χειρισμού IRQ-context ```c static void handle_posix_cpu_timers(struct task_struct *tsk) { struct k_itimer *timer, *next; unsigned long flags, start; LIST_HEAD(firing); if (!lock_task_sighand(tsk, &flags)) return; // may fail on exit do { start = READ_ONCE(jiffies); barrier(); check_thread_timers(tsk, &firing); check_process_timers(tsk, &firing); } while (!posix_cpu_timers_enable_work(tsk, start)); unlock_task_sighand(tsk, &flags); // race window opens here list_for_each_entry_safe(timer, next, &firing, it.cpu.elist) { int cpu_firing; spin_lock(&timer->it_lock); list_del_init(&timer->it.cpu.elist); cpu_firing = timer->it.cpu.firing; // read then reset timer->it.cpu.firing = 0; if (likely(cpu_firing >= 0)) cpu_timer_fire(timer); rcu_assign_pointer(timer->it.cpu.handling, NULL); spin_unlock(&timer->it_lock); } } ```

Βασική αιτία: TOCTOU μεταξύ λήξης σε IRQ-time και ταυτόχρονης διαγραφής κατά την έξοδο της διεργασίας Προϋποθέσεις

  • CONFIG_POSIX_CPU_TIMERS_TASK_WORK is disabled (IRQ path in use)
  • Η στοχευόμενη διεργασία βρίσκεται σε έξοδο αλλά δεν έχει ανακτηθεί πλήρως
  • Ένα άλλο νήμα καλεί ταυτόχρονα posix_cpu_timer_del() για τον ίδιο timer

Ακολουθία

  1. update_process_times() ενεργοποιεί run_posix_cpu_timers() στο πλαίσιο IRQ για τη διεργασία που εξέρχεται.
  2. collect_timerqueue() θέτει ctmr->firing = 1 και μετακινεί τον timer στη προσωρινή λίστα firing.
  3. handle_posix_cpu_timers() απελευθερώνει το sighand μέσω unlock_task_sighand() για να παραδώσει τους timers έξω από το lock.
  4. Αμέσως μετά το unlock, η εξερχόμενη διεργασία μπορεί να συλλεχθεί (reaped); ένα αδελφό νήμα εκτελεί posix_cpu_timer_del().
  5. Σε αυτό το παράθυρο, το posix_cpu_timer_del() μπορεί να αποτύχει να αποκτήσει το state μέσω cpu_timer_task_rcu()/lock_task_sighand() και έτσι να παραλείψει τον κανονικό in-flight έλεγχο που ελέγχει timer->it.cpu.firing. Η διαγραφή προχωρά σαν να μην ήταν firing, διαφθείροντας την κατάσταση ενώ η λήξη χειρίζεται, οδηγώντας σε crashes/UB.

Γιατί το TASK_WORK mode είναι ασφαλές εκ σχεδιασμού

  • Με CONFIG_POSIX_CPU_TIMERS_TASK_WORK=y, η λήξη αναβάλλεται σε task_work· το exit_task_work τρέχει πριν το exit_notify, επομένως η επικαλύψη του χρόνου IRQ με τη συλλογή δεν συμβαίνει.
  • Ακόμα κι έτσι, αν η διεργασία ήδη εξέρχεται, το task_work_add() αποτυγχάνει· ο έλεγχος με βάση το exit_state καθιστά και τις δύο λειτουργίες συνεπείς.

Διόρθωση (Android common kernel) και αιτιολόγηση

  • Προσθήκη έγκαιρης επιστροφής αν η τρέχουσα διεργασία εξέρχεται, φραγμώντας όλη την επεξεργασία:
// kernel/time/posix-cpu-timers.c (Android common kernel commit 157f357d50b5038e5eaad0b2b438f923ac40afeb)
if (tsk->exit_state)
return;
  • Αυτό αποτρέπει την είσοδο στη handle_posix_cpu_timers() για διεργασίες που τερματίζουν, εξαλείφοντας το παράθυρο όπου posix_cpu_timer_del() θα μπορούσε να χάσει το it.cpu.firing και να race με την επεξεργασία λήξης.

Impact

  • Η διαφθορά μνήμης του kernel σε δομές timer κατά τη σύγχρονη λήξη/διαγραφή μπορεί να προκαλέσει άμεσες καταρρεύσεις (DoS) και αποτελεί ισχυρό primitive προς privilege escalation λόγω ευκαιριών για αυθαίρετη χειραγώγηση του kernel-state.

Triggering the bug (safe, reproducible conditions) Build/config

  • Βεβαιωθείτε ότι CONFIG_POSIX_CPU_TIMERS_TASK_WORK=n και χρησιμοποιήστε έναν kernel χωρίς το exit_state gating fix.

Runtime strategy

  • Στοχεύστε ένα thread που πρόκειται να τερματίσει και επισυνάψτε έναν CPU timer σε αυτό (per-thread ή process-wide clock):
  • For per-thread: timer_create(CLOCK_THREAD_CPUTIME_ID, …)
  • For process-wide: timer_create(CLOCK_PROCESS_CPUTIME_ID, …)
  • Οπλίστε με πολύ μικρό αρχικό χρονικό όριο και μικρό διάστημα για να μεγιστοποιήσετε τις εισόδους στην IRQ-path:
static timer_t t;
static void setup_cpu_timer(void) {
struct sigevent sev = {0};
sev.sigev_notify = SIGEV_SIGNAL;    // delivery type not critical for the race
sev.sigev_signo = SIGUSR1;
if (timer_create(CLOCK_THREAD_CPUTIME_ID, &sev, &t)) perror("timer_create");
struct itimerspec its = {0};
its.it_value.tv_nsec = 1;           // fire ASAP
its.it_interval.tv_nsec = 1;        // re-fire
if (timer_settime(t, 0, &its, NULL)) perror("timer_settime");
}
  • Από ένα άλλο νήμα, διαγράψτε ταυτόχρονα τον ίδιο timer ενώ το στοχευόμενο νήμα τερματίζει:
void *deleter(void *arg) {
for (;;) (void)timer_delete(t);     // hammer delete in a loop
}
  • Ενισχυτές race: υψηλός ρυθμός tick του scheduler, φόρτος CPU, επαναλαμβανόμενοι κύκλοι thread exit/re-create. Το crash εμφανίζεται τυπικά όταν η posix_cpu_timer_del() παραλείπει να αντιληφθεί το firing λόγω αποτυχίας στο task lookup/locking αμέσως μετά το unlock_task_sighand().

Detection και σκληροποίηση

  • Mitigation: εφαρμόστε τον exit_state guard· προτιμήστε την ενεργοποίηση του CONFIG_POSIX_CPU_TIMERS_TASK_WORK όταν είναι εφικτό.
  • Observability: προσθέστε tracepoints/WARN_ONCE γύρω από unlock_task_sighand()/posix_cpu_timer_del(); ειδοποιήστε όταν παρατηρείται it.cpu.firing==1 μαζί με αποτυχημένο cpu_timer_task_rcu()/lock_task_sighand(); παρακολουθήστε ασυνέπειες στο timerqueue γύρω από το task exit.

Audit hotspots (για reviewers)

  • update_process_times() → run_posix_cpu_timers() (IRQ)
  • __run_posix_cpu_timers() selection (TASK_WORK vs IRQ path)
  • collect_timerqueue(): sets ctmr->firing and moves nodes
  • handle_posix_cpu_timers(): drops sighand before firing loop
  • posix_cpu_timer_del(): βασίζεται στο it.cpu.firing για να ανιχνεύσει in-flight expiry· αυτός ο έλεγχος παραλείπεται όταν αποτυγχάνει το task lookup/lock κατά το exit/reap

Σημειώσεις για έρευνα εκμετάλλευσης

  • Η αποκαλυφθείσα συμπεριφορά αποτελεί αξιόπιστο kernel crash primitive· για να μετατραπεί σε privilege escalation συνήθως απαιτείται επιπλέον ελεγχόμενη επικαλύψη (object lifetime ή write-what-where influence) που υπερβαίνει το πλαίσιο αυτής της περίληψης. Θεωρήστε οποιοδήποτε PoC ως δυνητικά αποσταθεροποιητικό και εκτελέστε το μόνο σε emulators/VMs.

Chronomaly exploit strategy (priv-esc without fixed text offsets)

  • Tested target & configs: x86_64 v5.10.157 under QEMU (4 cores, 3 GB RAM). Critical options: CONFIG_POSIX_CPU_TIMERS_TASK_WORK=n, CONFIG_PREEMPT=y, CONFIG_SLAB_MERGE_DEFAULT=n, DEBUG_LIST=n, BUG_ON_DATA_CORRUPTION=n, LIST_HARDENED=n.
  • Race steering with CPU timers: Ένα racing thread (race_func()) καταναλώνει CPU ενώ τα CPU timers πυροδοτούν; το free_func() polls SIGUSR1 για να επιβεβαιώσει αν ο timer fired. Ρυθμίστε το CPU_USAGE_THRESHOLD έτσι ώστε τα signals να φτάνουν μόνο περιστασιακά (διαλείποντα μηνύματα “Parent raced too late/too early”). Αν οι timers πυροδοτούν κάθε προσπάθεια, μειώστε το threshold· αν ποτέ δεν πυροδοτούν πριν το thread exit, αυξήστε το.
  • Dual-process alignment into send_sigqueue(): Parent/child processes προσπαθούν να χτυπήσουν ένα δεύτερο race window μέσα στο send_sigqueue(). Ο parent κοιμάται PARENT_SETTIME_DELAY_US μικροδευτερόλεπτα πριν οπλίσει τους timers· προσαρμόστε προς τα κάτω όταν βλέπετε κυρίως “Parent raced too late” και προς τα πάνω όταν βλέπετε κυρίως “Parent raced too early”. Η εμφάνιση και των δύο υποδεικνύει ότι βρίσκεστε πάνω στο παράθυρο· η επιτυχία αναμένεται εντός ~1 λεπτού από τη σωστή ρύθμιση.
  • Cross-cache UAF replacement: Το exploit απελευθερώνει ένα struct sigqueue και μετά διαμορφώνει την κατάσταση του allocator (sigqueue_crosscache_preallocs()) ώστε τόσο το dangling uaf_sigqueue όσο και το αντικατασταθέν realloc_sigqueue να καταλήξουν σε μια σελίδα δεδομένων pipe buffer (cross-cache reallocation). Η αξιοπιστία προϋποθέτει έναν ήσυχο kernel με λίγες προηγούμενες sigqueue allocations· αν υπάρχουν ήδη per-CPU/per-node μερικές slab σελίδες (φορτωμένα συστήματα), ο αντικαταστάτης θα χάσει και η αλυσίδα θα αποτύχει. Ο συγγραφέας το άφησε σκόπιμα μη βελτιστοποιημένο για noisy kernels.

See also

Ksmbd Streams Xattr Oob Write Cve 2025 37947

Αναφορές

Tip

Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Μάθετε & εξασκηθείτε στο Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Υποστηρίξτε το HackTricks