CVE-2025-71092: Linux内核RDMA/bnxt_re驱动越界写入漏洞

漏洞信息

漏洞编号

CVE-2025-71092

漏洞类型

缓冲区溢出/越界写入(OOB Write)

CVSS评分

7.8 高危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linux内核 RDMA/bnxt_re驱动

漏洞概述

CVE-2025-71092是Linux内核中RDMA/bnxt_re驱动的越界写入安全漏洞，CVSS评分7.8，属于高危漏洞。该漏洞源于驱动在处理硬件计数器时的内存分配错误，导致bnxt_re_copy_err_stats()函数在访问统计数据时发生越界写入。攻击者可通过本地低权限用户触发此漏洞，可能导致系统崩溃（拒绝服务）或在特定条件下实现权限提升。漏洞影响所有使用bnxt_re驱动的Linux系统，需要内核版本包含问题commit ef56081d1864的相关版本。

技术细节

该漏洞发生在Linux内核的RDMA/bnxt_re驱动程序中。具体问题在于：提交ef56081d1864（RDMA/bnxt_re: RoCE related hardware counters update）添加了三个新的错误计数器：BNXT_RE_REQ_CQE_ERROR、BNXT_RE_RESP_CQE_ERROR和BNXT_RE_RESP_REMOTE_ACCESS_ERRS，并将它们放置在BNXT_RE_OUT_OF_SEQ_ERR之后。BNXT_RE_OUT_OF_SEQ_ERR作为边界标记，用于在chip_gen_p5_p7设备上使用不同的num_counters值分配硬件统计信息。然而，BNXT_RE_NUM_STD_COUNTERS被用于hw_stats分配，导致内存分配大小不足以包含新添加的三个计数器。当bnxt_re_copy_err_stats()函数尝试写入这些统计数据时，会发生越界写入(OOB write)操作，覆盖相邻内存区域。这可能破坏内核内存结构，导致系统不稳定或被攻击者利用。修复方案是将这三个计数器移动到BNXT_RE_OUT_OF_SEQ_ERR之前，确保它们被包含在通用计数器集中。

攻击链分析

STEP 1

1

攻击者获得目标系统的本地低权限访问权限（PR:L）

STEP 2

2

确认系统运行包含问题commit ef56081d1864的Linux内核版本

STEP 3

3

确认系统安装了Broadcom/Mellanox网络硬件并加载了bnxt_re驱动模块

STEP 4

4

通过RDMA操作触发错误计数器的更新，使bnxt_re_copy_err_stats()被调用

STEP 5

5

函数在写入统计数据时发生越界写入，覆盖hw_stats缓冲区边界之外的内存

STEP 6

6

内存破坏可能导致系统崩溃（DoS）或在特定条件下实现内核级代码执行

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-71092 PoC - Linux Kernel RDMA/bnxt_re OOB Write
# This PoC demonstrates triggering the OOB write in bnxt_re_copy_err_stats()
# Note: Requires bnxt_re hardware and specific kernel version

import os
import sys

def check_vulnerability():
    """Check if system is vulnerable to CVE-2025-71092"""
    print("[*] Checking vulnerability status for CVE-2025-71092")
    print("[*] Target: Linux kernel RDMA/bnxt_re driver")
    
    # Check kernel version
    kernel_version = os.popen("uname -r").read().strip()
    print(f"[*] Current kernel version: {kernel_version}")
    
    # Check if bnxt_re module is loaded
    result = os.popen("lsmod | grep bnxt_re").read()
    if result:
        print(f"[+] bnxt_re module is loaded: {result.strip()}")
    else:
        print("[-] bnxt_re module is not loaded")
        print("[*] Vulnerability requires bnxt_re hardware to be present")
        return False
    
    # Check for Mellanox/Broadcom network adapters
    lspci_result = os.popen("lspci | grep -iE 'ethernet|network' | grep -iE 'broadcom|mellanox'").read()
    if lspci_result:
        print(f"[+] Found compatible hardware: {lspci_result.strip()}")
    
    print("[*] For full exploitation, kernel debugging and hardware access required")
    print("[*] Recommended action: Update to patched kernel version")
    return None

def trigger_vulnerability():
    """
    Attempt to trigger the OOB write condition
    This requires specific RDMA operations on vulnerable hardware
    """
    print("[*] Attempting to trigger vulnerability...")
    print("[!] Warning: This may cause system instability or crash")
    print("[*] Trigger method: Execute RDMA operations that access error counters")
    print("[*] Expected result: Kernel oops/panic due to OOB write in hw_stats")
    
    # The actual trigger would involve:
    # 1. Loading the bnxt_re module on vulnerable hardware
    # 2. Initializing RDMA resources
    # 3. Triggering error conditions that populate the counters
    # 4. The bnxt_re_copy_err_stats() function writes beyond allocated buffer
    
    return False

if __name__ == "__main__":
    print("=" * 60)
    print("CVE-2025-71092 PoC - Linux Kernel bnxt_re OOB Write")
    print("=" * 60)
    check_vulnerability()
    print("\n[*] For detailed exploitation, refer to kernel source analysis")
    print("[*] Key functions: bnxt_re_copy_err_stats(), BNXT_RE_NUM_STD_COUNTERS")
    print("[*] Vulnerable commits: ef56081d1864")

影响范围

Linux kernel >= 5.x (包含commit ef56081d1864)

Linux kernel 6.x系列

使用bnxt_re驱动的Broadcom NetXtreme-C/E系列网卡

使用bnxt_re驱动的Mellanox ConnectX系列网卡

防御指南

临时缓解措施

在无法立即升级内核的情况下，可采取以下临时缓解措施：1) 禁用不必要的RDMA功能；2) 卸载或阻止加载bnxt_re驱动模块（modprobe -r bnxt_re 或将模块加入黑名单）；3) 使用iproute2命令关闭相关网卡的RDMA功能；4) 实施网络访问控制，限制非授权用户访问系统；5) 监控系统日志，及时发现异常行为。由于该漏洞需要本地访问且利用难度较高，临时缓解措施可有效降低风险窗口。