Linux内核栈缓冲区越界写漏洞利用技术深度解析<\/h1>

漏洞概述<\/h2>
本议题介绍了一种针对Linux内核栈缓冲区越界写漏洞的新型利用技术，该漏洞在Pwn2Own Vancouver 2024比赛中被成功利用。漏洞存在于Linux内核网络调度器中的`nla_parse_nested<\/code>函数，允许攻击者通过精心构造的用户态数据实现内核栈越界写，最终通过结合内核栈分配机制和eBPF技术实现任意地址写，修改modprobe_path<\/code>完成提权。<\/p>`

漏洞详细分析<\/h2>
漏洞代码位置<\/h3>
漏洞位于内核处理TAPRIO队列调度器的代码中，具体在解析嵌套netlink属性时的类型处理不当：<\/p>
struct<\/span> nla_policy taprio_tc_policy[TCA_TAPRIO_TC_ENTRY_MAX +<\/span> 1<\/span>] =<\/span> {
<\/span><\/span>    [TCA_TAPRIO_TC_ENTRY_INDEX] =<\/span> { .type =<\/span> NLA_U32 },
<\/span><\/span>    [TCA_TAPRIO_TC_ENTRY_MAX_SDU] =<\/span> { .type =<\/span> NLA_U32 },
<\/span><\/span>    [TCA_TAPRIO_TC_ENTRY_FP] =<\/span> NLA_POLICY_RANGE(NLA_U32, TC_FP_EXPRESS, TC_FP_PREEMPTIBLE),
<\/span><\/span>};
<\/span><\/span><\/code><\/pre>漏洞成因<\/h3>


类型转换问题<\/strong>：<\/p>

nla_get_u32<\/code>获取TCA_TAPRIO_TC_ENTRY_INDEX<\/code>返回u32<\/code>类型<\/li>
但接收变量tc<\/code>是int<\/code>类型<\/li>
通过提供很大的TCA_TAPRIO_TC_ENTRY_INDEX<\/code>值可使tc<\/code>变为负数<\/li>
<\/ul>
<\/li>

越界访问<\/strong>：<\/p>

绕过后续的tc<\/code>范围检查<\/li>
写入max_sdu<\/code>和fp<\/code>数组时使用负数索引导致向前越界写栈内存<\/li>
max_sdu<\/code>和fp<\/code>是内核栈上的数组：u32 max_sdu[TC_QOPT_MAX_QUEUE]<\/code>和u32 fp[TC_QOPT_MAX_QUEUE]<\/code><\/li>
<\/ul>
<\/li>
<\/ol>
漏洞补丁<\/h3>
补丁通过限制TCA_TAPRIO_TC_ENTRY_INDEX<\/code>的最大值来修复：<\/p>
[TCA_TAPRIO_TC_ENTRY_INDEX] =<\/span> NLA_POLICY_MAX(NLA_U32, TC_QOPT_MAX_QUEUE),
<\/span><\/span><\/code><\/pre>漏洞利用原语分析<\/h2>
漏洞提供的原始利用能力有限：<\/p>


写入大小限制<\/strong>：<\/p>

最大只能写入0xffff<\/code>（u32<\/code>类型）<\/li>
max_sdu<\/code>写入的值需要小于dev->max_mtu<\/code><\/li>
<\/ul>
<\/li>

写入值限制<\/strong>：<\/p>

fp<\/code>写入的值受taprio_tc_policy<\/code>约束，只能为1或2<\/li>
<\/ul>
<\/li>

利用难度<\/strong>：<\/p>

难以部分修改栈上的指针（修改后偏移太大难以控制）<\/li>
常规的栈越界写利用策略难以奏效<\/li>
<\/ul>
<\/li>
<\/ol>
内核内存布局机制<\/h2>
VMALLOC区域特性<\/h3>


内存分配<\/strong>：<\/p>

Linux内核进程栈在VMALLOC区域分配<\/li>
vmalloc接口也在此区域分配内存<\/li>
不同进程的栈内存、vmalloc堆内存相邻<\/li>
<\/ul>
<\/li>

保护机制<\/strong>：<\/p>

默认分配时会在内存后添加不可访问的guard page防止溢出<\/li>
但OOB（越界）写入不受此保护影响<\/li>
<\/ul>
<\/li>
<\/ol>
VMALLOC分配\/释放机制<\/h3>


地址空间<\/strong>：<\/p>

虚拟地址空间[VMALLOC_START, VMALLOC_END]<\/code><\/li>
用于分配虚拟地址连续但物理地址不一定连续的内存<\/li>
<\/ul>
<\/li>

管理结构<\/strong>：<\/p>

已分配的虚拟地址空间用vm_area<\/code>结构体表示<\/li>
通过链表和红黑树组织<\/li>
<\/ul>
<\/li>

分配过程<\/strong>：<\/p>

从低地址向高地址遍历vm_area<\/code>搜索空闲区间<\/li>
类似于ptmalloc中的unsorted bin分配机制<\/li>
通过alloc_page<\/code>向伙伴系统逐页申请物理内存<\/li>
<\/ul>
<\/li>

释放过程<\/strong>：<\/p>

物理地址释放回伙伴系统<\/li>
虚拟地址空间标记为unpurged vm_area<\/code><\/li>
当所有unpurged vm_area<\/code>页面数超过阈值（约40000页）时才回收<\/li>
回收前对应的虚拟地址不可被申请<\/li>
<\/ul>
<\/li>
<\/ol>
利用技术演进<\/h2>
传统利用方法及其限制<\/h3>


修改其他进程内核栈<\/strong>：<\/p>

类似SVE-2020-18610的利用策略<\/li>
修改do_select<\/code>栈内存实现栈溢出和ROP<\/li>
<\/ul>
<\/li>

防护机制<\/strong>：<\/p>

CONFIG_RANDOMIZE_KSTACK_OFFSET<\/code>引入栈布局随机性<\/li>
导致偏移无法确定，阻止此类利用<\/li>
<\/ul>
<\/li>
<\/ol>
新型利用技术<\/h3>


VMALLOC区域目标选择<\/strong>：<\/p>

除了内核栈外，VMALLOC还包含：

Android Mali GPU驱动管理结构<\/li>
eBPF字节码等<\/li>
<\/ul>
<\/li>
<\/ul>
<\/li>

历史案例参考<\/strong>：<\/p>

CVE-2021-33909：通过vmalloc越界写修改eBPF字节码<\/li>
<\/ul>
<\/li>

eBPF利用现状<\/strong>：<\/p>

低权限进程无法直接使用eBPF（因易被用于恶意软件）<\/li>
但可通过setsockopt<\/code>创建eBPF字节码（参考CVE-2023-3609）<\/li>
<\/ul>
<\/li>
<\/ol>
完整利用链构建<\/h2>
eBPF处理流程<\/h3>


校验阶段<\/strong>：<\/p>

首先校验字节码的合法性<\/li>
校验通过后将filter字节码转换为eBPF字节码<\/li>
<\/ul>
<\/li>

JIT编译<\/strong>：<\/p>

将eBPF字节码进行即时编译<\/li>
<\/ul>
<\/li>
<\/ol>
漏洞利用关键点<\/h3>


时机选择<\/strong>：<\/p>

在校验通过后、JIT编译前篡改eBPF字节码<\/li>
注入恶意eBPF指令实现任意地址写<\/li>
<\/ul>
<\/li>

指令注入<\/strong>：<\/p>

篡改注入BPF_STX_MEM<\/code>指令<\/li>
用于实现任意地址写<\/li>
<\/ul>
<\/li>

最终目标<\/strong>：<\/p>

修改modprobe_path<\/code>实现提权<\/li>
<\/ul>
<\/li>
<\/ol>
利用过程中的挑战与解决方案<\/h3>


地址泄露问题<\/strong>：<\/p>

利用CVE-2024-26816泄露内核镜像基地址<\/li>
<\/ul>
<\/li>

内存布局不稳定<\/strong>：<\/p>

大量进程创建\/销毁导致内存布局变化<\/li>
解决方案：通过SIGSTOP<\/code>暂停部分进程减少系统行为<\/li>
<\/ul>
<\/li>

竞争条件<\/strong>：<\/p>

需要在eBPF字节码生成到JIT之间触发漏洞<\/li>
解决方案：增加bpf指令数目以延长时间窗口<\/li>
<\/ul>
<\/li>
<\/ol>
相关漏洞案例<\/h2>


vmalloc区域漏洞利用<\/strong>：<\/p>

ioremap越界写修改内核栈：Pwn2Own 2023 Tesla, CVE-2022-21765<\/li>
ION Buffer OOB漏洞：SVE-2020-18610<\/li>
<\/ul>
<\/li>

利用策略通用性<\/strong>：<\/p>

通过RACE在eBPF生成过程中篡改指令的技术<\/li>
可应用于其他vmalloc相关漏洞利用场景<\/li>
<\/ul>
<\/li>
<\/ol>
总结与启示<\/h2>


技术要点<\/strong>：<\/p>

结合内核栈分配机制和eBPF实现有限OOB到任意地址写<\/li>
利用VMALLOC区域特性绕过常规防护<\/li>
精确控制漏洞触发时机实现稳定利用<\/li>
<\/ul>
<\/li>

防护建议<\/strong>：<\/p>

加强类型转换检查<\/li>
增强VMALLOC区域隔离<\/li>
缩短eBPF校验到JIT的时间窗口<\/li>
监控modprobe_path<\/code>等关键数据修改<\/li>
<\/ul>
<\/li>

研究价值<\/strong>：<\/p>

为受限原语的利用提供新思路<\/li>
展示内核子系统间交互的安全影响<\/li>
推动更精细的内核内存防护机制发展<\/li>
<\/ul>
<\/li>
<\/ol>