POSIX CPU Timers TOCTOU race (CVE-2025-38352)

Tip

Impara e pratica il hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Impara e pratica il hacking GCP: HackTricks Training GCP Red Team Expert (GRTE) Impara e pratica il hacking Azure: HackTricks Training Azure Red Team Expert (AzRTE)

Supporta HackTricks

Questa pagina documenta una race condition TOCTOU in Linux/Android POSIX CPU timers che può corrompere lo stato del timer e causare il crash del kernel, e in alcune circostanze può essere indirizzata verso l’escalation di privilegi.

  • Componente interessata: kernel/time/posix-cpu-timers.c
  • Primitiva: race expiry vs deletion durante la terminazione del task
  • Sensibile alla configurazione: CONFIG_POSIX_CPU_TIMERS_TASK_WORK=n (IRQ-context expiry path)

Breve riepilogo interno (relevant for exploitation)

  • Tre clock della CPU guidano l’accounting per i timer tramite cpu_clock_sample():
  • CPUCLOCK_PROF: utime + stime
  • CPUCLOCK_VIRT: solo utime
  • CPUCLOCK_SCHED: task_sched_runtime()
  • La creazione del timer collega un timer a un task/pid e inizializza i timerqueue nodes:
static int posix_cpu_timer_create(struct k_itimer *new_timer) {
struct pid *pid;
rcu_read_lock();
pid = pid_for_clock(new_timer->it_clock, false);
if (!pid) { rcu_read_unlock(); return -EINVAL; }
new_timer->kclock = &clock_posix_cpu;
timerqueue_init(&new_timer->it.cpu.node);
new_timer->it.cpu.pid = get_pid(pid);
rcu_read_unlock();
return 0;
}
  • L’arming inserisce nella per-base timerqueue e può aggiornare la next-expiry cache:
static void arm_timer(struct k_itimer *timer, struct task_struct *p) {
struct posix_cputimer_base *base = timer_base(timer, p);
struct cpu_timer *ctmr = &timer->it.cpu;
u64 newexp = cpu_timer_getexpires(ctmr);
if (!cpu_timer_enqueue(&base->tqhead, ctmr)) return;
if (newexp < base->nextevt) base->nextevt = newexp;
}
  • Il percorso rapido evita l’elaborazione onerosa a meno che le scadenze memorizzate nella cache non indichino una possibile attivazione:
static inline bool fastpath_timer_check(struct task_struct *tsk) {
struct posix_cputimers *pct = &tsk->posix_cputimers;
if (!expiry_cache_is_inactive(pct)) {
u64 samples[CPUCLOCK_MAX];
task_sample_cputime(tsk, samples);
if (task_cputimers_expired(samples, pct))
return true;
}
return false;
}
  • Expiration raccoglie i timer scaduti, li marca come in fase di esecuzione, li sposta fuori dalla coda; la consegna effettiva è differita:
#define MAX_COLLECTED 20
static u64 collect_timerqueue(struct timerqueue_head *head,
struct list_head *firing, u64 now) {
struct timerqueue_node *next; int i = 0;
while ((next = timerqueue_getnext(head))) {
struct cpu_timer *ctmr = container_of(next, struct cpu_timer, node);
u64 expires = cpu_timer_getexpires(ctmr);
if (++i == MAX_COLLECTED || now < expires) return expires;
ctmr->firing = 1;                           // critical state
rcu_assign_pointer(ctmr->handling, current);
cpu_timer_dequeue(ctmr);
list_add_tail(&ctmr->elist, firing);
}
return U64_MAX;
}

Due modalità di gestione delle scadenze

  • CONFIG_POSIX_CPU_TIMERS_TASK_WORK=y: la scadenza è differita tramite task_work sul task target
  • CONFIG_POSIX_CPU_TIMERS_TASK_WORK=n: la scadenza viene gestita direttamente in contesto IRQ
Percorsi di esecuzione del timer CPU POSIX ```c void run_posix_cpu_timers(void) { struct task_struct *tsk = current; __run_posix_cpu_timers(tsk); } #ifdef CONFIG_POSIX_CPU_TIMERS_TASK_WORK static inline void __run_posix_cpu_timers(struct task_struct *tsk) { if (WARN_ON_ONCE(tsk->posix_cputimers_work.scheduled)) return; tsk->posix_cputimers_work.scheduled = true; task_work_add(tsk, &tsk->posix_cputimers_work.work, TWA_RESUME); } #else static inline void __run_posix_cpu_timers(struct task_struct *tsk) { lockdep_posixtimer_enter(); handle_posix_cpu_timers(tsk); // IRQ-context path lockdep_posixtimer_exit(); } #endif ```

Nel percorso in contesto IRQ, la firing list viene processata al di fuori di sighand

Percorso di gestione del contesto IRQ ```c static void handle_posix_cpu_timers(struct task_struct *tsk) { struct k_itimer *timer, *next; unsigned long flags, start; LIST_HEAD(firing); if (!lock_task_sighand(tsk, &flags)) return; // may fail on exit do { start = READ_ONCE(jiffies); barrier(); check_thread_timers(tsk, &firing); check_process_timers(tsk, &firing); } while (!posix_cpu_timers_enable_work(tsk, start)); unlock_task_sighand(tsk, &flags); // race window opens here list_for_each_entry_safe(timer, next, &firing, it.cpu.elist) { int cpu_firing; spin_lock(&timer->it_lock); list_del_init(&timer->it.cpu.elist); cpu_firing = timer->it.cpu.firing; // read then reset timer->it.cpu.firing = 0; if (likely(cpu_firing >= 0)) cpu_timer_fire(timer); rcu_assign_pointer(timer->it.cpu.handling, NULL); spin_unlock(&timer->it_lock); } } ```

Causa principale: TOCTOU tra la scadenza in IRQ-time e la cancellazione concorrente durante l’uscita del task Precondizioni

  • CONFIG_POSIX_CPU_TIMERS_TASK_WORK è disabilitato (percorso IRQ in uso)
  • Il task target sta uscendo ma non è ancora stato completamente reaped
  • Un altro thread chiama concorrentemente posix_cpu_timer_del() per lo stesso timer

Sequenza

  1. update_process_times() avvia run_posix_cpu_timers() in contesto IRQ per il task in uscita.
  2. collect_timerqueue() imposta ctmr->firing = 1 e sposta il timer nella lista temporanea di firing.
  3. handle_posix_cpu_timers() rilascia sighand tramite unlock_task_sighand() per consegnare i timer fuori dal lock.
  4. Immediatamente dopo l’unlock, il task in uscita può essere reaped; un thread sibling esegue posix_cpu_timer_del().
  5. In questa finestra, posix_cpu_timer_del() può non riuscire ad acquisire lo stato tramite cpu_timer_task_rcu()/lock_task_sighand() e quindi saltare la guardia in-flight normale che controlla timer->it.cpu.firing. La cancellazione procede come se non fosse firing, corrompendo lo stato mentre la scadenza viene gestita, portando a crash/UB.

Perché la modalità TASK_WORK è sicura per progettazione

  • Con CONFIG_POSIX_CPU_TIMERS_TASK_WORK=y, la scadenza è rinviata a task_work; exit_task_work viene eseguito prima di exit_notify, quindi non si verifica la sovrapposizione IRQ-time con il reaping.
  • Anche in questo caso, se il task sta già uscendo, task_work_add() fallisce; il gating su exit_state rende entrambe le modalità coerenti.

Fix (Android common kernel) e motivazione

  • Aggiungere un ritorno anticipato se il task corrente è in fase di uscita, condizionando tutta l’elaborazione:
// kernel/time/posix-cpu-timers.c (Android common kernel commit 157f357d50b5038e5eaad0b2b438f923ac40afeb)
if (tsk->exit_state)
return;
  • Questo impedisce l’entrata in handle_posix_cpu_timers() per task in uscita, eliminando la finestra in cui posix_cpu_timer_del() potrebbe non rilevare it.cpu.firing e race con la gestione della scadenza.

Impact

  • La corruzione della memoria del kernel delle strutture dei timer durante scadenza/eliminazione concorrente può provocare crash immediati (DoS) ed è una potente primitiva per l’elevazione di privilegi, grazie alle opportunità di manipolazione arbitraria dello stato del kernel.

Triggering the bug (safe, reproducible conditions) Build/config

  • Assicurati che CONFIG_POSIX_CPU_TIMERS_TASK_WORK=n e usa un kernel senza la correzione di gating exit_state.

Runtime strategy

  • Punta a un thread che sta per terminare e collega un CPU timer ad esso (per-thread o clock a livello di processo):
  • Per thread: timer_create(CLOCK_THREAD_CPUTIME_ID, …)
  • Per l’intero processo: timer_create(CLOCK_PROCESS_CPUTIME_ID, …)
  • Arma il timer con una scadenza iniziale molto breve e un intervallo piccolo per massimizzare le entrate nel percorso IRQ:
static timer_t t;
static void setup_cpu_timer(void) {
struct sigevent sev = {0};
sev.sigev_notify = SIGEV_SIGNAL;    // delivery type not critical for the race
sev.sigev_signo = SIGUSR1;
if (timer_create(CLOCK_THREAD_CPUTIME_ID, &sev, &t)) perror("timer_create");
struct itimerspec its = {0};
its.it_value.tv_nsec = 1;           // fire ASAP
its.it_interval.tv_nsec = 1;        // re-fire
if (timer_settime(t, 0, &its, NULL)) perror("timer_settime");
}
  • Da un thread sibling, elimina contemporaneamente lo stesso timer mentre il thread target esce:
void *deleter(void *arg) {
for (;;) (void)timer_delete(t);     // hammer delete in a loop
}
  • Race amplifiers: alto scheduler tick rate, carico CPU, cicli ripetuti di exit/re-create dei thread. Il crash si manifesta tipicamente quando posix_cpu_timer_del() salta nel rilevare il firing a causa del fallimento della lookup/locking del task subito dopo unlock_task_sighand().

Detection and hardening

  • Mitigation: applicare l’exit_state guard; preferire l’abilitazione di CONFIG_POSIX_CPU_TIMERS_TASK_WORK quando possibile.
  • Observability: aggiungere tracepoints/WARN_ONCE attorno a unlock_task_sighand()/posix_cpu_timer_del(); generare alert quando it.cpu.firing==1 viene osservato insieme a cpu_timer_task_rcu()/lock_task_sighand() falliti; monitorare incongruenze nella timerqueue durante l’exit del task.

Audit hotspots (for reviewers)

  • update_process_times() → run_posix_cpu_timers() (IRQ)
  • __run_posix_cpu_timers() selection (TASK_WORK vs IRQ path)
  • collect_timerqueue(): sets ctmr->firing and moves nodes
  • handle_posix_cpu_timers(): drops sighand before firing loop
  • posix_cpu_timer_del(): relies on it.cpu.firing to detect in-flight expiry; this check is skipped when task lookup/lock fails during exit/reap

Notes for exploitation research

  • The disclosed behavior is a reliable kernel crash primitive; turning it into privilege escalation typically needs an additional controllable overlap (object lifetime or write-what-where influence) beyond the scope of this summary. Treat any PoC as potentially destabilizing and run only in emulators/VMs.

Strategia di exploit Chronomaly (priv-esc without fixed text offsets)

  • Tested target & configs: x86_64 v5.10.157 under QEMU (4 cores, 3 GB RAM). Critical options: CONFIG_POSIX_CPU_TIMERS_TASK_WORK=n, CONFIG_PREEMPT=y, CONFIG_SLAB_MERGE_DEFAULT=n, DEBUG_LIST=n, BUG_ON_DATA_CORRUPTION=n, LIST_HARDENED=n.
  • Race steering with CPU timers: Un thread in race (race_func()) consuma CPU mentre i CPU timers scattano; free_func() fa polling di SIGUSR1 per confermare se il timer è scattato. Regolare CPU_USAGE_THRESHOLD in modo che i segnali arrivino solo a volte (messaggi intermittenti “Parent raced too late/too early”). Se i timer scattano ad ogni tentativo, abbassare la soglia; se non scattano mai prima dell’exit del thread, aumentarla.
  • Dual-process alignment into send_sigqueue(): Processi parent/child cercano di cogliere una seconda finestra di race dentro send_sigqueue(). Il parent dorme PARENT_SETTIME_DELAY_US microsecondi prima di armare i timer; ridurre il valore quando si vede per lo più “Parent raced too late” e aumentarlo quando si vede per lo più “Parent raced too early”. Vedere entrambi indica che si è su entrambe le estremità della finestra; il successo è atteso entro ~1 minuto una volta tarato.
  • Cross-cache UAF replacement: L’exploit libera una struct sigqueue poi prepara lo stato dell’allocator (sigqueue_crosscache_preallocs()) così che sia il uaf_sigqueue pendente sia il realloc_sigqueue di sostituzione finiscano su una pipe buffer data page (reallocazione cross-cache). La affidabilità presuppone un kernel “silenzioso” con poche allocazioni sigqueue precedenti; se esistono già pagine slab parziali per CPU/node (sistemi occupati), la sostituzione fallirà e la catena si interrompe. L’autore ha intenzionalmente lasciato il PoC non ottimizzato per kernel rumorosi.

See also

Ksmbd Streams Xattr Oob Write Cve 2025 37947

References

Tip

Impara e pratica il hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Impara e pratica il hacking GCP: HackTricks Training GCP Red Team Expert (GRTE) Impara e pratica il hacking Azure: HackTricks Training Azure Red Team Expert (AzRTE)

Supporta HackTricks