PoC Chronomaly explora CVE-2025-38352 no kernel Linux | Riscos e Ameaças

Foi publicada a PoC Chronomaly para CVE‑2025‑38352, uma condição de corrida use‑after‑free em handle_posix_cpu_timers() do kernel Linux (v5.10.x). A falha afeta especialmente kernels 32‑bit (muitos Android legados); o problema já está no catálogo KEV da CISA e há patch upstream.

Introdução

Foi publicada uma proof‑of‑concept (PoC) chamada Chronomaly para a vulnerabilidade CVE‑2025‑38352, um use‑after‑free por condição de corrida no manipulador de timers POSIX do kernel Linux. O exploit e o detalhamento técnico foram disponibilizados pelo pesquisador identificado como Faith, ligado a uma firma de segurança blockchain, e o problema já consta no catálogo de Known Exploited Vulnerabilities da CISA.

O que é CVE‑2025‑38352

Trata‑se de um erro na função handle_posix_cpu_timers() que leva a um uso de memória já liberada (use‑after‑free) quando timers POSIX disparam sobre tarefas "zombie". A condição aparece em configurações de kernel onde a opção CONFIG_POSIX_CPU_TIMERS_TASK_WORK está desabilitada — cenário comum em kernels Android de 32 bits, menos presente em builds 64 bits.

Chronomaly: detalhes do exploit

O exploit Chronomaly foca kernels da série v5.10.x (testado com sucesso em v5.10.157 em QEMU).
Não depende de offsets de símbolos do kernel nem de endereços fixos de memória, aumentando portabilidade entre configurações.
Emprega técnicas para estender a janela de corrida via manipulação de timers de CPU e um esquema de alocação cross‑cache para estruturas sigqueue.
Requisito operacional: sistema multicore com pelo menos dois CPUs para acionar a condição de corrida de forma fiável.

Exploração ativa e catálogo CISA

A inclusão da falha no catálogo Known Exploited Vulnerabilities da CISA indica existência de exploração ativa ou uso constatado em ataques reais. O material público também documenta ataques dirigidos anteriores que privilegiaram dispositivos Android 32‑bit.

Impacto e alcance

O vetor permite, em condições favoráveis, escalada de privilégio ou execução de código a nível de kernel. Enquanto a ameaça principal recai sobre kernels 32‑bit (ex.: muitos dispositivos Android legados), componentes relevantes estão presentes em variantes 32‑bit de outras distribuições Linux que desabilitem a opção de configuração mencionada.

Mitigações e recomendações

O upstream do kernel incluiu um commit (f90fff1e152dedf52b932240ebbd670d83330eca) que corrige o problema prevenindo o processamento de timers em tarefas zombie. O advisório do GitHub vinculado ao exploit recomenda atualizar para um kernel corrigido ou habilitar CONFIG_POSIX_CPU_TIMERS_TASK_WORK onde possível.

Recomendações práticas para fabricantes e administradores:

Priorizar backports/patches para linhas de kernel ainda suportadas em dispositivos embarcados/Android 32‑bit.
Distribuidores e OEMs devem acelerar a distribuição de builds corrigidos para dispositivos afetados.
Em ambientes de data center e VMs, aplicar atualizações de kernel e monitorar tentativas de exploração que explorem condições de corrida em timers POSIX.

Limitações da publicação pública

O PoC é técnico e projetado para demonstrabilidade; contudo, a disponibilidade pública aumenta o risco para sistemas não corrigidos. Algumas informações detalhadas sobre taxa de sucesso em hardware real (não virtualizado) e alcance em kernels customizados por OEMs não foram divulgadas no material resumido aqui.

Conclusão

CVE‑2025‑38352 trafega no limiar entre pesquisa técnica avançada e risco operacional imediato: com PoC público e inclusão no catálogo da CISA, equipes de vulnerabilidade e fabricantes devem tratar o patch como alta prioridade em linhas afetadas, em especial para dispositivos Android 32‑bit e kernels v5.10.x ainda em uso.