CVE-2026-43324: Linux内核dummy-hcd中断同步漏洞

漏洞信息

漏洞编号

CVE-2026-43324

漏洞类型

竞争条件

CVSS评分

7.8 高危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linux Kernel

漏洞概述

Linux内核中的dummy-hcd驱动程序存在中断同步错误。该漏洞是由于模拟中断禁用的时机不当造成的，导致synchronize_irq()仿真在禁用中断之前运行。这使得在gadget驱动程序解绑后，中断回调处理程序可能仍在执行，引发竞态条件。攻击者可利用此漏洞导致系统崩溃、内存损坏，或在特定条件下实现本地权限提升。

技术细节

该漏洞源于Linux内核USB Gadget子系统的dummy-hcd驱动。驱动试图通过模拟synchronize_irq()来确保所有中断处理程序完成后再进行资源清理。然而，由于代码逻辑错误，同步等待发生在设置“中断禁用”标志之前。这导致了一个时间窗口：在同步等待结束后，系统认为安全可以解绑驱动，但实际上中断尚未被逻辑禁用。此时若发生新的模拟中断，回调函数将试图访问可能已被释放的内存（UAF）或无效的驱动结构体。攻击者需要本地低权限访问，通过精心构造的IOCTL或设备操作触发该竞态，从而造成内核崩溃或潜在的任意代码执行。

攻击链分析

STEP 1

步骤1

攻击者获得本地低权限用户访问权限（PR:L）。

STEP 2

步骤2

加载并配置Linux内核的dummy-hcd模块及相关的gadget驱动。

STEP 3

步骤3

触发导致gadget驱动解绑的操作（如移除模块或断开模拟设备）。

STEP 4

步骤4

利用synchronize_irq()与中断禁用之间的时间窗口，触发中断回调。

STEP 5

步骤5

回调函数访问已释放的驱动资源，导致内核崩溃或执行恶意代码。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

/*
 * Conceptual PoC for CVE-2026-43324
 * Triggering the race condition in dummy-hcd.
 */

#include <stdio.h>
#include <unistd.h>
#include <fcntl.h>
#include <sys/ioctl.h>

#define GADGET_IOCTL_UNBIND 0xdeadbeef

int main() {
    int fd;
    // Open the dummy-hcd device
    fd = open("/dev/dummy_hcd", O_RDWR);
    if (fd < 0) {
        perror("open");
        return 1;
    }

    // Thread 1: Rapidly trigger unbind/rebind sequences
    while(1) {
        ioctl(fd, GADGET_IOCTL_UNBIND, NULL);
    }

    // Thread 2: Generate USB traffic to trigger interrupts
    // during the vulnerable window
    while(1) {
        write(fd, "A", 1); // Trigger interrupt callback
    }

    close(fd);
    return 0;
}

影响范围

Linux Kernel (Mainline)

Linux Kernel (Stable branches before patch)

防御指南

临时缓解措施

禁用dummy-hcd内核模块（如果非必须），并严格限制本地用户权限以减少攻击面。