2024年高通GPU漏洞分析与利用技术详解<\/h1>

1. 高通GPU内存管理基础<\/h2>

高通GPU驱动使用kgsl_mem_entry<\/code>和kgsl_memdesc<\/code>结构体来管理物理页：<\/p>


kgsl_mem_entry<\/code>对象分配逻辑位于kgsl_ioctl_gpuobj_alloc<\/code>接口<\/li>
通过kgsl_allocate_user<\/code>为kgsl_memdesc<\/code>分配物理页<\/li>
使用kgsl_mem_entry_attach_and_map<\/code>将其映射到GPU侧<\/li>
用户态进程映射通过驱动的mmap<\/code>回调实现<\/li>
<\/ul>
内存释放流程：<\/p>

通过kgsl_ioctl_gpuobj_free<\/code>接口释放<\/li>
使用引用计数(refcount<\/code>)管理生命周期<\/li>
引用计数为0时进入kgsl_mem_entry_destroy<\/code><\/li>
先解除entry中的物理页映射，再释放物理页和entry对象<\/li>
<\/ul>
kgsl_sharedmem_free<\/code>函数负责释放kgsl_memdesc<\/code>资源：<\/p>
void<\/span> kgsl_sharedmem_free<\/span>(struct<\/span> kgsl_memdesc *<\/span>memdesc) {
<\/span><\/span>    if<\/span> (!<\/span>memdesc ||<\/span> !<\/span>memdesc-><\/span>size) return<\/span>;
<\/span><\/span>    if<\/span> (!<\/span>memdesc-><\/span>ops) return<\/span>;
<\/span><\/span>    
<\/span><\/span>    if<\/span> (memdesc-><\/span>ops-><\/span>put_gpuaddr)
<\/span><\/span>        memdesc-><\/span>ops-><\/span>put_gpuaddr(memdesc); \/\/ 解除GPU页表映射
<\/span><\/span><\/span><\/span>        
<\/span><\/span>    if<\/span> (memdesc-><\/span>ops-><\/span>free)
<\/span><\/span>        memdesc-><\/span>ops-><\/span>free(memdesc); \/\/ 释放memdesc中的物理页内存
<\/span><\/span><\/span><\/span>}
<\/span><\/span><\/code><\/pre>2. CVE-2024-23380 - VBO内存映射竞争条件漏洞<\/h2>
漏洞细节<\/h3>

出现在处理VBO(Vertex Buffer Object)内存映射时<\/li>
VBO缓冲区在释放目标memdesc的互斥锁后被映射<\/li>
导致竞争条件，可能引发VBO缓冲区的UAF<\/li>
<\/ul>
技术分析<\/h3>
VBO内存区域分配特点：<\/p>

不分配物理页，只分配GPU VA<\/li>
将这些VA映射为零页(类似Linux内核的零页)<\/li>
<\/ul>
VBO内存映射流程：<\/p>

使用kgsl_ioctl_gpumem_bind_ranges<\/code>将其他kgsl_mem_entry<\/code>内存映射到VBO的VA范围<\/li>
找到要映射内存的VBO entry(op->target<\/code>)<\/li>
找到所有被绑定的entry(op->ops[i].entry<\/code>)<\/li>
启动内核work线程进入kgsl_sharedmem_bind_worker<\/code>处理<\/li>
<\/ol>
关键函数：<\/p>

kgsl_memdesc_add_range<\/code>: 在VBO entry中增加映射

分配range存放映射信息<\/li>
解除[start, last]<\/code> VA处原有映射<\/li>
调用kgsl_mmu_map_child<\/code>操作GPU页表映射物理页<\/li>
<\/ul>
<\/li>
kgsl_memdesc_remove_range<\/code>: 清理range映射

清理GPU侧映射<\/li>
释放range->entry的引用<\/li>
释放range<\/li>
<\/ul>
<\/li>
<\/ul>
漏洞触发流程<\/h3>

kgsl_memdesc_add_range<\/code>线程在释放锁后调用kgsl_mmu_map_child<\/code><\/li>
此时其他线程可并发调用kgsl_memdesc_remove_range<\/code>提前走释放流程<\/li>
导致真实释放时页表未清理，造成物理页UAF<\/li>
<\/ol>
利用思路<\/h3>

kgsl_mem_entry<\/code>对象通过kmalloc<\/code>分配<\/li>
其他内核漏洞可篡改kgsl_mem_entry<\/code>对象的refcount<\/code>或memdesc<\/code><\/li>
将漏洞转换为GPU漏洞进行利用<\/li>
<\/ul>
3. CVE-2023-33107 - SVM区域校验整数溢出漏洞<\/h2>
漏洞细节<\/h3>

kgsl_iommu_set_svm_region<\/code>中地址校验存在整数溢出<\/li>
导致重叠映射区存在，页表映射出错<\/li>
最终导致物理页UAF<\/li>
<\/ul>
技术分析<\/h3>
漏洞位于iommu_addr_in_svm_ranges<\/code>函数：<\/p>
if<\/span> (gpuaddr >=<\/span> pt-><\/span>svm_start &&<\/span> 
<\/span><\/span>    gpuaddr +<\/span> size ><\/span> gpuaddr &&<\/span>  \/\/ 整数溢出检查
<\/span><\/span><\/span><\/span>    gpuaddr +<\/span> size <=<\/span> pt-><\/span>svm_end)
<\/span><\/span><\/code><\/pre>当gpuaddr + size<\/code>发生整数溢出时：<\/p>

gpuaddr + size < gpuaddr<\/code><\/li>
只要gpuaddr<\/code>在pt->svm_start<\/code>和pt->svm_end<\/code>之间就能通过检查<\/li>
<\/ul>
利用策略<\/h3>
使用4个GPU映射区域构造利用：<\/p>



映射区<\/th>
gpuaddr<\/th>
end<\/th>
size<\/th>
用途<\/th>
<\/tr>
<\/thead>


OVERLAP<\/td>
0x7001fe000<\/td>
0x700205000<\/td>
0x7000<\/td>
与UAF区域形成重叠<\/td>
<\/tr>

UAF<\/td>
0x7001ff000<\/td>
0x710203000<\/td>
0x10004000<\/td>
漏洞触发后指向释放的物理页<\/td>
<\/tr>

BOGUS<\/td>
0x700204000<\/td>
0x700101000<\/td>
0xffffffffffefd000<\/td>
触发整数溢出(end < gpuaddr)<\/td>
<\/tr>

PLACEHOLDER<\/td>
0x710204000<\/td>
0x720604000<\/td>
0x10400000<\/td>
占位<\/td>
<\/tr>
<\/tbody>
<\/table>
利用步骤：<\/p>

正常分配UAF和PLACEHOLDER区域<\/li>
分配BOGUS区域触发整数溢出，插入非法entry<\/li>
分配OVERLAP区域形成重叠映射<\/li>
利用GPU页表映射异常导致部分VA解映射失败<\/li>
释放UAF对象时因部分PTE为0而未完全解映射<\/li>
GPU残留指向已释放物理页的映射<\/li>
<\/ol>
4. 其他相关漏洞<\/h2>
CVE-2024-23372<\/h3>

类似CVE-2023-33107<\/li>
gpumem_alloc_vbo_entry<\/code>分配vbo entry时size校验不足<\/li>
过大size导致_get_unmapped_area<\/code>整数溢出<\/li>
形成gpuaddr + size < gpuaddr<\/code>的红黑树节点<\/li>
<\/ul>
CVE-2024-23373<\/h3>

dma_buf类型的kgsl_mem_entry<\/code>释放问题<\/li>
未考虑GPU解映射失败情况<\/li>
物理页被释放但GPU页表残留映射<\/li>
导致UAF<\/li>
<\/ul>
CVE-2024-21471<\/h3>

类似CVE-2024-23373<\/li>
GPU解映射失败时仍释放物理页<\/li>
可能导致UAF<\/li>
<\/ul>
CVE-2024-23354<\/h3>

kgsl_ioctl_gpumem_bind_ranges<\/code>中的栈内存问题<\/li>
op->data<\/code>设置为栈内存<\/li>
用户态进程kill信号可能导致提前退出<\/li>
后续访问已释放栈内存<\/li>
<\/ul>
CVE-2024-21478<\/h3>

类型混淆漏洞<\/li>
kgsl_count_hw_fences<\/code>函数参数应为kgsl_drawobj_sync_event<\/code><\/li>
但有路径传入kgsl_mem_entry<\/code>对象<\/li>
<\/ul>
CVE-2024-23351<\/h3>

LPAC工作模式的寄存器保护问题<\/li>
涉及GEN7_CP_LPAC_PROTECT_CNTL<\/code>寄存器<\/li>
可能类似"梯云纵"漏洞，通过写保护寄存器执行GPU特权指令<\/li>
<\/ul>
5. 总结与研究方向<\/h2>
研究总结<\/h3>

高通GPU驱动漏洞多与内存管理和MMU操作相关<\/li>
kgsl_mem_entry<\/code>对象是常见攻击目标<\/li>
整数溢出和竞争条件是主要漏洞类型<\/li>
GPU页表管理异常常导致物理页UAF<\/li>
<\/ol>
研究方向建议<\/h3>

动态调试分析GPU驱动行为<\/li>
研究历史漏洞模式，发掘新攻击面<\/li>
探索高通GPU特权指令利用<\/li>
分析其他厂商GPU是否存在类似问题<\/li>
<\/ol>
参考资源<\/h3>

BHUSA: The Way to Android Root: Exploiting Your GPU on Smartphone<\/li>
Pan Zhenpeng & Jheng Bing Jhong, "GPUAF : Two ways of rooting All Qualcomm based Android phones"<\/li>
Google Project Zero: https:\/\/googleprojectzero.github.io\/0days-in-the-wild\/\/0day-RCAs\/2023\/CVE-2023-33107.html<\/li>
<\/ol>

映射区<\/th>	gpuaddr<\/th>	end<\/th>	size<\/th>	用途<\/th> <\/tr> <\/thead>
OVERLAP<\/td>	0x7001fe000<\/td>	0x700205000<\/td>	0x7000<\/td>	与UAF区域形成重叠<\/td> <\/tr>
UAF<\/td>	0x7001ff000<\/td>	0x710203000<\/td>	0x10004000<\/td>	漏洞触发后指向释放的物理页<\/td> <\/tr>
BOGUS<\/td>	0x700204000<\/td>	0x700101000<\/td>	0xffffffffffefd000<\/td>	触发整数溢出(end < gpuaddr)<\/td> <\/tr>
PLACEHOLDER<\/td>	0x710204000<\/td>	0x720604000<\/td>	0x10400000<\/td>	占位<\/td> <\/tr> <\/tbody> <\/table> 利用步骤：<\/p> 正常分配UAF和PLACEHOLDER区域<\/li> 分配BOGUS区域触发整数溢出，插入非法entry<\/li> 分配OVERLAP区域形成重叠映射<\/li> 利用GPU页表映射异常导致部分VA解映射失败<\/li> 释放UAF对象时因部分PTE为0而未完全解映射<\/li> GPU残留指向已释放物理页的映射<\/li> <\/ol> 4. 其他相关漏洞<\/h2> CVE-2024-23372<\/h3> 类似CVE-2023-33107<\/li> `gpumem_alloc_vbo_entry<\/code>分配vbo entry时size校验不足<\/li>` `过大size导致_get_unmapped_area<\/code>整数溢出<\/li>` 形成gpuaddr + size < gpuaddr<\/code>的红黑树节点<\/li> <\/ul> CVE-2024-23373<\/h3> dma_buf类型的kgsl_mem_entry<\/code>释放问题<\/li> 未考虑GPU解映射失败情况<\/li> 物理页被释放但GPU页表残留映射<\/li> 导致UAF<\/li> <\/ul> CVE-2024-21471<\/h3> 类似CVE-2024-23373<\/li> GPU解映射失败时仍释放物理页<\/li> 可能导致UAF<\/li> <\/ul> CVE-2024-23354<\/h3> kgsl_ioctl_gpumem_bind_ranges<\/code>中的栈内存问题<\/li> op->data<\/code>设置为栈内存<\/li> 用户态进程kill信号可能导致提前退出<\/li> 后续访问已释放栈内存<\/li> <\/ul> CVE-2024-21478<\/h3> 类型混淆漏洞<\/li> kgsl_count_hw_fences<\/code>函数参数应为kgsl_drawobj_sync_event<\/code><\/li> 但有路径传入kgsl_mem_entry<\/code>对象<\/li> <\/ul> CVE-2024-23351<\/h3> LPAC工作模式的寄存器保护问题<\/li> 涉及GEN7_CP_LPAC_PROTECT_CNTL<\/code>寄存器<\/li> 可能类似"梯云纵"漏洞，通过写保护寄存器执行GPU特权指令<\/li> <\/ul> 5. 总结与研究方向<\/h2> 研究总结<\/h3> 高通GPU驱动漏洞多与内存管理和MMU操作相关<\/li> kgsl_mem_entry<\/code>对象是常见攻击目标<\/li> 整数溢出和竞争条件是主要漏洞类型<\/li> GPU页表管理异常常导致物理页UAF<\/li> <\/ol> 研究方向建议<\/h3> 动态调试分析GPU驱动行为<\/li> 研究历史漏洞模式，发掘新攻击面<\/li> 探索高通GPU特权指令利用<\/li> 分析其他厂商GPU是否存在类似问题<\/li> <\/ol> 参考资源<\/h3> BHUSA: The Way to Android Root: Exploiting Your GPU on Smartphone<\/li> Pan Zhenpeng & Jheng Bing Jhong, "GPUAF : Two ways of rooting All Qualcomm based Android phones"<\/li> Google Project Zero: https:\/\/googleprojectzero.github.io\/0days-in-the-wild\/\/0day-RCAs\/2023\/CVE-2023-33107.html<\/li> <\/ol>