CVE-2023-53551 Linux内核USB Gadget串口驱动空指针解引用漏洞

漏洞信息

漏洞编号

CVE-2023-53551

漏洞类型

空指针解引用（Null Pointer Dereference）

CVSS评分

5.5 中危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linux Kernel（usb: gadget: u_serial 驱动）

漏洞概述

CVE-2023-53551是Linux内核USB Gadget串口驱动（u_serial）中的一个空指针解引用漏洞。该漏洞位于gserial_resume函数中，在特定的竞态条件下可被触发。具体而言，当gserial_disconnect函数已经将gser->ioport指针清空后，如果此时系统接收到唤醒中断（wakeup interrupt），gserial_resume函数将被调用。在该函数执行过程中，会直接访问已经被清空的gser->ioport指针，导致内核空指针解引用错误，从而引发系统崩溃或内核panic。

该漏洞的CVSS评分为5.5，属于中危级别。其攻击向量为本地攻击（AV:L），攻击者需要具备低权限（PR:L），无需用户交互（UI:N）。在影响方面，该漏洞对机密性影响较低（C:L），对完整性无影响（I:N），但对系统可用性影响较高（A:H），因为空指针解引用通常会导致内核崩溃或系统重启，造成拒绝服务攻击。

该漏洞影响Linux内核多个稳定版本，官方已通过多个commit修复了该问题，包括在gserial_resume函数中添加空指针检查，并引入了一个静态自旋锁（static spinlock）来防止在检查gser->ioport之后到使用之前该指针被设置为NULL的竞态条件。

技术细节

该漏洞的核心问题在于u_serial驱动中gserial_resume函数与gserial_disconnect函数之间的竞态条件。

漏洞原理：
1. 在gserial_disconnect函数执行过程中，会将gser->ioport指针设置为NULL，释放相关资源。
2. 当系统处于挂起状态时，USB唤醒中断可以触发gserial_resume函数的调用。
3. 如果唤醒中断发生在gserial_disconnect清空gser->ioport之后，gserial_resume函数将访问已被清空的指针。
4. gserial_resume函数中未对gser->ioport进行空指针检查就直接解引用，导致内核空指针解引用错误。

利用方式：
攻击者需要本地低权限访问系统，通过以下步骤触发该漏洞：
1. 连接一个支持USB唤醒功能的设备到系统。
2. 使系统进入挂起状态（如通过systemctl suspend）。
3. 在系统挂起期间，触发USB设备的断开操作（如物理断开USB连接）。
4. gserial_disconnect函数将gser->ioport置为NULL。
5. 此时触发USB唤醒中断，调用gserial_resume函数。
6. gserial_resume访问NULL指针，触发内核panic。

修复方案：
1. 在gserial_resume函数中添加对gser->ioport的空指针检查。
2. 引入静态自旋锁保护gser->ioport的访问，确保在检查和使用之间不会被并发清空。

该漏洞的利用难度较低，但需要本地访问权限和特定的时序条件，因此被评定为中危级别。

攻击链分析

STEP 1

步骤1：环境准备

攻击者需要本地低权限访问运行受影响Linux内核版本的系统，并确保系统支持USB Gadget功能且已加载g_serial模块。

STEP 2

步骤2：触发挂起

通过systemctl suspend或echo mem > /sys/power/state命令使系统进入挂起状态，此时USB设备进入低功耗模式。

STEP 3

步骤3：断开USB设备

在系统挂起期间，物理断开USB串口设备，触发gserial_disconnect函数执行，将gser->ioport指针设置为NULL。

STEP 4

步骤4：触发唤醒中断

通过另一个USB设备或远程唤醒信号触发系统唤醒，调用gserial_resume函数。

STEP 5

步骤5：空指针解引用

gserial_resume函数访问已被清空的gser->ioport指针，导致内核空指针解引用错误，触发内核panic或系统崩溃。

STEP 6

步骤6：拒绝服务

系统因内核panic而崩溃重启，造成拒绝服务攻击效果，影响系统可用性。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// PoC for CVE-2023-53551 - Linux Kernel USB Gadget u_serial Null Pointer Dereference
// This PoC demonstrates the race condition trigger concept
// Note: Actual exploitation requires kernel module loading or specific USB device setup

#include <stdio.h>
#include <stdlib.h>
#include <unistd.h>
#include <fcntl.h>
#include <string.h>
#include <sys/ioctl.h>
#include <linux/usbdevice_fs.h>

// Step 1: Open USB gadget serial device
int open_gserial() {
    int fd = open("/dev/ttyGS0", O_RDWR | O_NONBLOCK);
    if (fd < 0) {
        perror("Failed to open /dev/ttyGS0");
        return -1;
    }
    return fd;
}

// Step 2: Trigger the race condition
// The actual trigger requires:
// 1. Loading the g_serial kernel module
// 2. Configuring USB gadget
// 3. Suspending the system
// 4. Disconnecting during suspend
// 5. Triggering wakeup interrupt
int trigger_vuln() {
    // This is a conceptual PoC - actual exploitation requires kernel-level access
    printf("Triggering CVE-2023-53551 race condition...\n");
    
    // The vulnerability is in gserial_resume accessing gser->ioport
    // after gserial_disconnect has set it to NULL
    
    // Kernel-level trigger sequence:
    // 1. modprobe g_serial  (load the vulnerable module)
    // 2. echo mem > /sys/power/state  (suspend system)
    // 3. Disconnect USB device (triggers gserial_disconnect -> ioport = NULL)
    // 4. USB wakeup event (triggers gserial_resume -> NULL dereference)
    
    return 0;
}

int main() {
    int fd = open_gserial();
    if (fd >= 0) {
        trigger_vuln();
        close(fd);
    }
    return 0;
}

影响范围

Linux Kernel < 6.6（受影响稳定版本）

Linux Kernel 6.6.x（部分版本受影响）

Linux Kernel 6.1.x LTS（部分版本受影响）

Linux Kernel 5.15.x LTS（部分版本受影响）

Linux Kernel 5.10.x LTS（部分版本受影响）

防御指南

临时缓解措施

在无法立即升级内核的情况下，可以采取以下临时缓解措施：1）如果系统不需要USB Gadget串口功能，可以通过rmmod g_serial命令卸载相关模块，或在内核配置中禁用CONFIG_USB_G_SERIAL选项后重新编译内核；2）限制本地用户对USB设备的访问权限，通过udev规则限制普通用户对/dev/ttyGS*设备的访问；3）禁用系统的USB唤醒功能，通过修改BIOS设置或执行echo disabled > /sys/bus/usb/devices/*/power/wakeup命令禁用USB设备的远程唤醒功能；4）监控系统状态，设置内核panic后的自动重启策略（kernel.panic参数），减少服务中断时间。