CVE-2023-53651 Linux内核exc3000驱动定时器未停止导致UAF漏洞

漏洞信息

漏洞编号

CVE-2023-53651

漏洞类型

Use-After-Free（UAF）/ 定时器资源未释放

CVSS评分

5.5 中危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linux Kernel（exc3000输入设备驱动）

漏洞概述

CVE-2023-53651是Linux内核中exc3000输入设备驱动程序存在的一个中等严重性安全漏洞，CVSS评分为5.5。该漏洞的根本原因在于驱动程序在卸载（unbind）或探测失败（probe failure）时未能正确停止已启动的定时器（timer）。exc3000驱动用于支持EETI的exc3000系列触摸屏控制器，当驱动程序被卸载或初始化失败时，如果没有调用del_timer_sync()等函数来停止之前注册的定时器，该定时器仍可能在后台继续运行。由于定时器回调函数可能会访问已经被释放或重新分配的驱动程序数据结构，这将导致Use-After-Free（UAF）漏洞，触发内核Oops甚至更严重的系统崩溃。该漏洞的攻击向量为本地攻击（AV:L），攻击者需要具备低权限（PR:L），无需用户交互（UI:N），对机密性影响较低（C:L），对完整性无影响（I:N），但对系统可用性影响较高（A:H）。该漏洞已在Linux内核的多个稳定版本中通过提交526a177ac6353d65057eadb5d6edafc168f64484、79c81d137d36f9635bbcbc3916c0cccb418a61dd和bee57c20fc0ca5ef9b9a53a0335eab2ac9e9cae1进行了修复。

技术细节

从技术层面分析，该漏洞存在于Linux内核的drivers/input/touchscreen/exc3000.c驱动文件中。exc3000驱动使用内核定时器（kernel timer）机制来实现触摸屏数据的轮询或周期性检测功能。在驱动的probe函数中，初始化时会通过setup_timer()或timer_setup()注册定时器，并通过mod_timer()或add_timer()启动定时器。然而，在驱动的disconnect（移除）或probe失败的处理路径中，开发人员遗漏了调用del_timer_sync()来安全地停止并等待定时器执行完毕。当驱动模块被卸载或probe失败时，内核会释放驱动相关的私有数据结构（如exc3000_data），但定时器仍然处于激活状态并可能在未来某个时刻触发。定时器回调函数在执行时会尝试访问已释放的私有数据，导致经典的Use-After-Free场景。这种UAF可能导致多种后果：1）内核Oops崩溃（最常见）；2）如果攻击者能够控制被释放内存的内容，可能实现权限提升；3）系统不稳定或拒绝服务。修复方案是在remove()函数和probe错误处理路径中添加timer_shutdown_sync()或del_timer_sync()调用，确保在释放资源前先停止定时器。该漏洞的利用需要本地访问权限，攻击者通常需要能够加载和卸载内核模块（如通过有物理访问权限或通过其他低权限漏洞），然后触发exc3000设备的插拔事件来触发定时器竞争条件。

攻击链分析

STEP 1

步骤1：环境准备

攻击者需要拥有目标Linux系统的本地访问权限，并具备加载/卸载内核模块的能力（如通过物理访问、获得普通用户权限后利用其他漏洞提权，或在容器环境中具有相关权限）。系统中需要有exc3000触摸屏控制器设备或可模拟该设备。

STEP 2

步骤2：驱动加载

当exc3000触摸屏设备接入系统时，内核自动加载exc3000驱动模块。驱动probe函数初始化设备并启动内核定时器用于周期性轮询触摸数据。

STEP 3

步骤3：触发驱动卸载

攻击者通过拔出USB触摸屏设备或通过其他方式触发驱动的disconnect/remove流程。在受漏洞影响的代码中，remove函数释放了驱动私有数据结构但未停止定时器。

STEP 4

步骤4：定时器触发UAF

在驱动数据结构被释放后，之前未停止的定时器仍然处于激活状态。当定时器到期时，回调函数尝试访问已释放的内存区域，触发Use-After-Free漏洞，导致内核Oops或系统崩溃。

STEP 5

步骤5：影响系统可用性

UAF漏洞导致内核崩溃（kernel panic），系统可用性受到严重影响。在某些情况下，如果攻击者能够控制释放后内存的内容（通过heap spray等技术），可能进一步实现权限提升。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

/*
 * CVE-2023-53651 - Linux Kernel exc3000 UAF via timer not stopped on shutdown
 *
 * This PoC demonstrates the vulnerability by simulating the race condition
 * between driver unbind and timer firing.
 *
 * Note: This is a conceptual PoC. Actual exploitation requires kernel module
 * loading privileges and a real or emulated exc3000 touchscreen device.
 */

#include <linux/module.h>
#include <linux/kernel.h>
#include <linux/timer.h>
#include <linux/input.h>
#include <linux/slab.h>

/* Simulated exc3000 private data structure */
struct exc3000_data {
    struct input_dev *input;
    struct timer_list timer;
    char data_buffer[64];
    int state;
};

static struct exc3000_data *exc_data;

/* Timer callback - simulates the vulnerable timer handler */
static void exc3000_timer_handler(struct timer_list *t)
{
    struct exc3000_data *data = from_timer(data, t, timer);

    /* VULNERABILITY: data may have been freed if timer was not stopped */
    pr_info("Timer fired, accessing data->state: %d\n", data->state);
    pr_info("Timer fired, data buffer: %s\n", data->data_buffer);

    /* Re-arm timer */
    mod_timer(&data->timer, jiffies + msecs_to_jiffies(100));
}

/* Simulated probe function - registers and starts timer */
static int __init exc3000_vuln_init(void)
{
    exc_data = kzalloc(sizeof(struct exc3000_data), GFP_KERNEL);
    if (!exc_data)
        return -ENOMEM;

    /* Setup and start timer */
    timer_setup(&exc_data->timer, exc3000_timer_handler, 0);
    mod_timer(&exc_data->timer, jiffies + msecs_to_jiffies(100));

    pr_info("exc3000: Timer started, data allocated at %p\n", exc_data);
    return 0;
}

/* Simulated remove function - VULNERABLE: does NOT stop timer */
static void __exit exc3000_vuln_exit(void)
{
    /* VULNERABILITY: Missing timer_shutdown_sync(&exc_data->timer) */
    /* This causes UAF when timer fires after kfree */

    pr_info("exc3000: Freeing data without stopping timer at %p\n", exc_data);
    kfree(exc_data);
    exc_data = NULL;
    /* Timer still active - will fire and access freed memory -> UAF/Oops */
}

module_init(exc3000_vuln_init);
module_exit(exc3000_vuln_exit);

MODULE_LICENSE("GPL");
MODULE_AUTHOR("Security Research");
MODULE_DESCRIPTION("CVE-2023-53651 PoC - exc3000 timer UAF");

/*
 * Trigger steps:
 * 1. Load the vulnerable module: insmod exc3000_vuln.ko
 * 2. Wait for timer to be active
 * 3. Unload the module: rmmod exc3000_vuln
 * 4. Timer fires after kfree -> Use-After-Free -> kernel Oops/panic
 *
 * Fix: Add timer_shutdown_sync(&exc_data->timer) before kfree() in exit path.
 */

影响范围

Linux Kernel < 6.6（包含exc3000驱动且未应用补丁的版本）

Linux Kernel 6.6.x（未修复版本）

Linux Kernel 6.1.x LTS（未修复版本）

Linux Kernel 5.15.x LTS（未修复版本）

Linux Kernel 5.10.x LTS（未修复版本）

Linux Kernel 5.4.x LTS（未修复版本）

防御指南

临时缓解措施

在无法立即升级内核的情况下，建议采取以下临时缓解措施：1）在内核启动参数中添加`module_blacklist=exc3000`禁止加载该驱动模块（如果系统不使用相关触摸屏设备）；2）通过udev规则阻止exc3000设备的加载；3）限制普通用户的内核模块加载权限，确保只有特权用户才能加载/卸载模块；4）启用Linux Security Module（如SELinux、AppArmor）限制对input子系统和定时器相关操作的访问；5）监控系统日志，及时发现异常的内核Oops事件。