CVE-2026-43374 Linux内核nexthop组件释放后利用漏洞

漏洞信息

漏洞编号

CVE-2026-43374

漏洞类型

释放后利用

CVSS评分

7.8 高危

攻击向量

本地 (AV:L)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Linux Kernel

漏洞概述

Linux内核net/nexthop组件存在一处高危释放后利用漏洞。在移除nexthop组条目时，`remove_nh_grp_entry`函数在发布新组配置后立即释放旧条目的percpu统计数据。然而，由于RCU同步延后，在此期间RCU读者仍可能持有旧组引用并访问已释放的内存区域，从而导致内核崩溃或潜在的本地权限提升。

技术细节

该漏洞源于Linux内核网络子系统在处理nexthop组时的并发逻辑缺陷。具体而言，`remove_nh_grp_entry`函数通过`rcu_assign_pointer`发布新组，随后调用`free_percpu`释放被移除条目的统计数据。然而，其调用者`remove_nexthop_from_groups`中的`synchronize_net()`在释放操作之后才执行。这构成了一个典型的RCU use-after-free场景：在synchronize_net等待所有预存在的RCU读者完成期间，这些读者仍能看到旧的组结构。若此时调用`nh_grp_entry_stats_inc`通过`get_cpu_ptr`访问`nhge->stats`，便会访问到已被释放的percpu内存。攻击者可利用此竞态条件，通过精心构造的网络配置操作触发UAF，导致内核崩溃或进一步实现代码执行以提升权限。

攻击链分析

STEP 1

步骤1

攻击者获取本地低权限用户访问权限。

STEP 2

步骤2

攻击者创建特定的nexthop组配置，并持续触发对该组统计数据的读取操作（RCU读者）。

STEP 3

步骤3

攻击者调用系统调用移除nexthop组条目，触发`remove_nh_grp_entry`函数。

STEP 4

步骤4

内核竞态条件触发：新组被发布，旧percpu统计内存被释放，但RCU读者仍在访问该内存。

STEP 5

步骤5

发生Use-After-Free，可能导致内核崩溃或写入恶意数据实现提权。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// PoC Concept for CVE-2026-43374
// Triggering race condition in nexthop group removal

#include <unistd.h>
#include <stdlib.h>
#include <stdio.h>
#include <string.h>
#include <sys/socket.h>
#include <linux/netlink.h>
#include <linux/rtnetlink.h>

void setup_nexthop_group(int sock_fd) {
    // Implementation to create a nexthop group
    // This involves sending NETLINK_ROUTE messages to add nexthops
    printf("[*] Setting up vulnerable nexthop group...\n");
}

void trigger_remove_race(int sock_fd) {
    // Implementation to remove entry, triggering remove_nh_grp_entry
    printf("[*] Triggering removal to exploit UAF...\n");
    // In a real exploit, precise timing is needed to hit the window
    // between free_percpu() and synchronize_net()
}

int main() {
    int sock_fd = socket(AF_NETLINK, SOCK_RAW, NETLINK_ROUTE);
    if (sock_fd < 0) {
        perror("socket");
        return 1;
    }

    setup_nexthop_group(sock_fd);
    
    // Loop to increase chances of hitting the race condition
    for(int i = 0; i < 1000; i++) {
        trigger_remove_race(sock_fd);
    }

    close(sock_fd);
    return 0;
}

影响范围

Linux Kernel < 6.1

Linux Kernel < 5.15

Linux Kernel < 5.10

Linux Kernel < 5.4

防御指南

临时缓解措施

由于该漏洞利用需要本地访问权限且涉及内核竞态，最佳缓解措施是尽快应用官方发布的内核补丁。在无法立即升级的情况下，应严格控制系统本地用户权限，避免不可信用户有能力修改网络配置或加载内核模块。